Mybatis的#占位符和$占位符的使用方法、区别、适合的使用区域

最新推荐文章于 2024-06-02 22:37:25 发布
最新推荐文章于 2024-06-02 22:37:25 发布
阅读量1.1k 收藏 1
点赞数 1
分类专栏: IDEA #占位符 $占位符 文章标签: sql 数据库 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45063658/article/details/122044660
版权
IDEA 同时被 3 个专栏收录
3 篇文章 0 订阅
订阅专栏
#占位符
1 篇文章 0 订阅
订阅专栏
$占位符
1 篇文章 0 订阅
订阅专栏

#占位符的特点

1)使用的PrepareStatement对象,执行sql语句,效率高
2)使用的PrepareStatement对象,能避免sql语句,sql语句执行更安全
3)#{}常作为【列值】使用的,一般用来传递列值。【重点】

$占位符的特点

1) 使用$()传参时,在dao接口必须使用@Param命名参数
2)使用Statement对象,执行sql语句,效率低
3)${}占位符的值,使用的是字【符串连接的方式】,有sql注入的风险,有代码安全的问题
4)${}数据是【原样使用的,不会区分数据类型】
5)${}【适合用作表名或列名】,不适合用作 列值 使用,在能保证数据安全的情况下使用${}【重点】

对比:

dao接口方法:

List<Student> queryStudent(@Param("studentName") String name);

mapper内的对应sql语句:

<!--${}的sql语句-->
<select id="queryStudent" resultType="com.gys.domain.Student">
    select * from User where name=${studentName}
</select>

<!--#{}的sql语句-->
<select id="queryStudent" resultType="com.gys.domain.Student">
    select * from User where name=#{studentName}
</select>

测试:

//#{}的执行sql语句方法
@Test
public void testSelectByName(){
    SqlSession session = MyBatisUtil.getSqlSession();
    StudentDao dao = session.getMapper(StudentDao.class);
    List<Student> students = dao.queryStudent("李四");  
    students.forEach(student -> System.out.println("学生: "+student));
    session.close();
}


//${}的执行sql语句方法
@Test
public void testSelectByName(){
    SqlSession session = MyBatisUtil.getSqlSession();
    StudentDao dao = session.getMapper(StudentDao.class);
//这里因为${}是原样使用,字符串拼接,所以 必须传入的是 ”‘李四’“,而不能是 “李四”
    List<Student> students = dao.queryStudent("'李四'");  
    students.forEach(student -> System.out.println("学生: "+student));
    session.close();
}

mybatis根据上述代码自动生成的sql语句:

//#{}自动生成的sql语句
Preparing: String Sql =“select * from User where name= ? ”
Parameters: 李四(String)


//${}自动生成的sql语句
Preparing: String Sql =“select * from User where name= '李四' ”
Parameters:

【重点】

这里#{} 是把 李四 这个 sting类型的值 传递给了 name,

而${} 是把 李四 和 前面的 sql语句 作为字符串拼接在了一起。

上述这种查询写法自然是看不出#{}和${}都用作列值的区别

但!下面举例把 ${} 用作列值的不安全性!

用户使用正常数据输入:李四。 #{}和${}两者返回的数据都没问题。

用户使用错误数据输入:李四 or 1=1 。此时,#{}和${}返回的结果就不想同了。

此时,#{} 是把  (李四 or 1=1) 作为一个整体,把这个整体作为一个值传给了 name,通过匹配数据库User表的name列,查找name = (李四 or 1=1) 的这个学生

但是,${} 是把 李四 or 1=1 拼接在了 sql语句后面,此时 mybatis自动生成的sql语句变成了:

String sql = " select * from User where name='李四' or 1=1 "

整个sql语句的意思就被用户自己改变

本来是查找名字为:李四 or 1=1  的这个学生,最多只会产生一条返回结果;

现在变成了 查找名字为 李四 或者 1  代表真,查询User所有用户,则一定会暴露出数据库User表中的所有数据。

这就体现了${}作为列表的不安全性

${} 适用领域:用作 表名列名

对比 #{} 和 ${} 用作 表名列名

dao接口方法:

//#{}和${}
List<Student> queryStudentOrderByColName(@Param("ColName") String name);

mapper的sql语句:

<!--#{}-->
<select id="queryStudentOrderByColName" resultType="com.gys.domain.Student">
    select * from User order by #{ColName}
</select>

<!--${}-->
<select id="queryStudentOrderByColName" resultType="com.gys.domain.Student">
    select * from User order by ${ColName}
</select>

测试语句:

        #{}测试语句:

//#{}
@Test
    public void testSelectOrderByColName(){
        SqlSession session = MyBatisUtil.getSqlSession();
        StudentDao dao = session.getMapper(StudentDao.class);
        List<Student> students = dao.queryStudentOrderByColName("name");
        students.forEach(student -> System.out.println("学生: "+student));
        session.close();
    }

        mybatis内部解释:

Preparing: String sql = "select * from User order by ?"
Parameters: name(String)

        结果:

转化为 数据库中的语句: select * from User order by 'name'
注意,这是错误的 通过 name列排序,  正确的为 order by name
这是因为 #{} 记录的 name 是String 类型,再进行赋值操作后,传入数据库就是  ‘name’,而不是 name

        ${}测试语句:

//${}
@Test
    public void testSelectOrderByColName(){
        SqlSession session = MyBatisUtil.getSqlSession();
        StudentDao dao = session.getMapper(StudentDao.class);
        List<Student> students = dao.queryStudentOrderByColName("name");
        students.forEach(student -> System.out.println("学生: "+student));
        session.close();
    }

        mybatis内部解释:

Preparing: String sql = " select * from User order by name "
Parameters:

        结果:

转化为 数据库中的语句: select * from User order by name
这才是正确的sql语法
这是因为 ${} 是把 ${} 的数据 拼接 到了 sql语句后面,而不是 赋值。

一般都是#{}和${}混合使用:

dao接口的方法:

List<Student> queryStudentOrderByColName(@Param("tableName") String tableName,
                                             @Param("dataName") String dataName,
                                             @Param("ColName") String ColName);

mapper内的sql语句:

<!--* 处也可以用 ${}代替--> 
<select id="queryStudentOrderByColName" resultType="com.gys.domain.Student">
        select * from ${tableName} where ${dataName} order by ${ColName}
</select>

测试语句:

@Test
    public void testSelectOrderByColName2(){
        SqlSession session = MyBatisUtil.getSqlSession();
        StudentDao dao = session.getMapper(StudentDao.class);
        List<Student> students = dao.queryStudentOrderByColName2("User","李四","name");
        students.forEach(student -> System.out.println("学生: "+student));
        session.close();
    }

mybatis内部解释:

Preparing: select * from User where name=? order by ? 
Parameters: 李四(String), name(String)

结果:

搜索 User表 中 name=李四所有用户,并按照 name 列 排序

管哈哈哈
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Mybatis之#{}与${}的区别使用详解
08-19
主要介绍了Mybatis之#{}与${}的区别详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
详解mybatis #{}和${}的区别、传参、基本语法
08-18
MyBatis中#{}和${}的区别、传参、基本语法 MyBatis是一个基于Java的持久层框架,它提供了一个强大的...MyBatis中#{}和${}的区别、传参、基本语法是非常重要的概念,需要详细了解和掌握,以便更好地使用MyBatis框架。
JavaEE进阶】——MyBatis操作数据库 (#{}与${} 以及 动态SQL
最新发布
m0_74438843的博客
06-02 1193
#{}与${} 以及 动态SQL,各类标签使用
MyBatis学习:#占位符和 $占位符区别
weixin_46281472的博客
08-05 1086
目前我本人正在学习MyBatis框架,在原先了解并且懵懵懂懂使用的基础上,开始系统正式的学习。阐述了MVC架构模式和三层架构,明晰了在Web项目中的普遍编码层次,回顾了JDBC连接数据库,建立了使用MyBatis和MySQL的Maven项目,解释了STDOUT_LOGGING日志和手动提交事务,记录了MyBatis中#占位符使用方法,回顾了MyBatis执行SQL语句的过程和使用到的一些重要类和接口,记录了将固定化的代码整合到一个工具类MyBatisUtil中,以减少代码量。...
MyBatis中#占位符和$占位符有什么区别
xuexihao1234的博客
07-16 1462
区别: 在sql中当传入的参数是字符型,则用#号会带上单引号,不会引起sql注入 在sql中当传入的参数是字符型,则用$号不会带上单引号,会引起sql注入 举个例子: 当传入的参数用于查询条件,尽量用#号,特殊情况可酌情使用#号或$号 mybatis代码: select id,name from user where name = #{userName} 解析后的sql语句: select id,name from user where name = '张三' 当传入的参数用于字段或表名,则必须使用$
一文详解Mybatis占位符#和$的区别
Java技术攻略的博客
03-14 589
由上经过源码分析,我们知道Mybatis对#{}占位符是直接转换成问号,拼接预处理 sql。${}占位符是原样拼接处理,有sql注入风险,最好避免由客户端传入此参数。
MyBatis——谈谈占位符(#、$)的理解与使用
★★光亭★★
03-02 2万+
MyBatis——谈谈占位符(#、$)的理解与使用
Mybatis占位符 #和$的区别
qq_43185247的博客
12-30 401
印象笔记记录 点我打开笔记
mybatis中的#占位符和$拼接符的区别
qq_45603855的博客
08-10 747
mybatis中的#占位符和$拼接符的区别一、sql注入1、什么是sql注入2、sql注入示例二、#占位符和$拼接符的区别三、mybatis如何防止sql注入四、总结   为更好地解释mybatis中的#占位符和$拼接符的区别,这里对sql注入做一个简单说明。 一、sql注入 1、什么是sql注入   SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编写时的疏忽,通过SQL语句,实现无账号登录,甚至篡改数据库。 2、sql注入示例   首先定义一个sql字符串,来
Mybatis-占位符#{}和${}的使用说明
m0_37965811的博客
05-31 2303
1、占位符 #{}是占位符,${}是拼接符。 #{}将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by “111”, 如果传入的值是id,则解析成的sql为order by “id”. ${}将传入的数据直接显示生成在sql中。如:order by ${user_id},如果传入的值是111,那么解析成sql时的值为order by 111, 如果传入的值是id,则解析成的sql为orde
MyBatis】参数占位符 #{} 和 ${}
qq_45875349的博客
05-22 857
#{}和${}区别详解
浅谈Mybatis #和$区别以及原理
08-18
Mybatis是一款流行的持久层框架,它提供了两个占位符:#和$,它们均用于参数化SQL语句,但是它们的作用和原理却有所不同,本文将详细介绍这两者的区别和原理。 #和$的区别Mybatis中,#和$都是占位符,但是它们...
Mybatis中#{}和${}传参的区别及#和$的区别小结
09-02
MyBatis框架中,`#{}`和`${}`是两种不同的参数占位符,它们在处理传参时有着显著的差异,同时也关联到`#`和`$`的区别。理解这些差异对于编写安全且高效的SQL查询至关重要。 首先,`#{}`是MyBatis的预编译参数占位...
浅谈mybatis中的#和$的区别
09-02
MyBatis中,`#`和`$`是用来动态构造SQL语句的占位符,它们的区别主要在于SQL预编译和防止SQL注入的能力。理解这两种符号的用法对于编写安全、高效的MyBatis映射文件至关重要。 1. `#`占位符: - `#`将传入的数据...
Mybatis下动态sql中##和$$的区别讲解
08-26
Mybatis下动态sql中##和$$的区别讲解 Mybatis是一款流行的ORM框架,能够帮助...综上所得,在Mybatis下动态sql中##和$$的区别是非常重要的,correctly使用#{ }和${ }可以避免SQL注入问题,并提高应用程序的安全性。
Mybatis——#{}和${}的区别
热门推荐
想着百万年薪努力的小赵
07-08 5万+
使用mybatis的时候我们会使用到#{}和${}这两个符号来为sql语句传参数,那么这两者有什么区别呢?#{}是预编译处理,是占位符,${}是字符串替换,是拼接符Mybatis在处理#{}的时候会将sql中的#{}替换成?号,调用PreparedStatement来赋值 如: 设userName=yuze看日志我们可以看到解析时将#{userName}替换成了 ? 然后再把yuze放进去,外面加上单引号 设userName=yuze看日志可以发现就是直接把值拼接上去了 这极有可能发生sql注入,下面举了
MyBatis中#{}和${}的区别详解
09-01
MyBatis框架中,`#{}`和`${}`是两种不同的占位符,它们各自有不同的用途和特性。了解它们的区别对于编写安全、高效的SQL语句至关重要。 首先,`#{}`是预编译参数的表示方式,它会被MyBatis转化为...
Mybatis中#{}与${}的区别详解
08-25
因此,在 JDBC 能使用占位符的地方,优先使用 #{},而在 JDBC 不支持使用占位符的地方,使用 ${}。 在实际开发中,#{} 和 ${} 都有其应用场景。例如,在模糊查询方面,#{} 和 ${} 都可以用于实现动态 SQL,但是 #{}...
mybatis使用#和$书写占位符有什么区别
06-06
MyBatis使用#和$书写占位符有什么区别? 在MyBatis中,使用#和$书写占位符都是用来替换SQL语句中的参数,但是它们的功能和作用是不同的。#代表参数预处理,它会将传入的值自动封装成对应的Java类型,可以防止SQL注入攻击,但是不能直接替换表名和列名。$代表参数直接替换,它会将传入的值直接替换到SQL语句中,可以用于替换表名和列名,但是容易发生SQL注入攻击。因此,在使用时需要根据具体情况选择使用哪种占位符

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值