框架--mybatis框架中${}和#{}的区别

最新推荐文章于 2022-11-17 15:30:02 发布
最新推荐文章于 2022-11-17 15:30:02 发布
阅读量569 收藏 1
点赞数 1
分类专栏: 框架 文章标签: java mybatis sql注入 模糊查询 数据库操作
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45089791/article/details/98663279
版权

mybatis框架中传参的使用#{}和${}的区别

  • 先看这个例子:

  • 方式一

    select * from user01 where name like #{value}

  • 经过编译后:

    select * from user01 where name like ?

  • 方式二

    select * from user01 where name like '${value}%'

  • 经过编译后:

    select * from user01 where name like '王%'

  • 我们对比这两个sql语句,发现#{value} 和 $ {value} 这两个sql语句,经过编译后,可以发现#{value}经过编译后,它变成了 “?”,可以防止sql注入,${value} 经过编译后,它变成" ‘王%’ "。我们发现这个是值直接进去了,这种方式就有可能发生sql注入的问题。

  • #{}, ${}----主要就在我们进行数据库的 sql的拼接的时候使用

    • #{} 使用它来完成我们sql语句中占位使用; 和preparstaterment 当中的?是一样的; 他里边可以传递简单类型和你的类; 他可以防止sql注入;
    • ${}他是用来进行sql语句的拼接;他里边可以传递简单类型和你的类; 他不可以防止sql注入。

  • mybatis框架中进行模糊查询案例及其说明

    • 这是映射配置文件
    <?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE mapper PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN"
        "http://mybatis.org/dtd/mybatis-3-mapper.dtd">
<!-- namespace这里的工作空间要和你的mapper层的接口路径对应,否则使用			sqlsession.getMapper()方法就会报错-->
	<mapper namespace="com.wdhcr.mybatisSelectLike.mapper.UserSelectLike">
    <select id="selectLike" parameterType="string" resultType="com.wdhcr.mybatisSelectLike.po.User">
        <!--         使用#{}占位符,用来传参,可以防止sql注入-->
       select * from user01 where name like #{value}
   </select>
   <select id="selectLike1" parameterType="string" resultType="com.wdhcr.mybatisSelectLike.po.User">
      <!-- 使用${}用来传参,不能防止sql注入-->
	    <!-- 注意这里的接收值的参数为基本数据类型时,参数名必须为value-->
 	   select * from user01 where name like '${value}%'
  </select>
</mapper>
    • po中的实体类
    /*
* 这是实体类,对应你数据库表中的字段
* 并生成get set方法,和tostring方法
* 
* */
public class User {
private String name;
private String password;

public String getName() {
    return name;
}

public void setName(String name) {
    this.name = name;
}

public String getPassword() {
    return password;
}

public void setPassword(String password) {
    this.password = password;
}

@Override
public String toString() {
    return "User{" +
            "name='" + name + '\'' +
            ", password='" + password + '\'' +
            '}';
	 }
}
    • 这是核心全局配置文件
    <?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE configuration PUBLIC "-//mybatis.org//DTD Config 3.0//EN" 	"http://mybatis.org/dtd/mybatis-3-config.dtd">
<configuration>
    <environments default="dev">
    <environment id="dev">
<!--            设置事务类型-->
            <transactionManager type="JDBC"></transactionManager>
<!--            设置数据源类型-->
        <dataSource type="POOLED">
            <property name="driver" value="com.mysql.jdbc.Driver"/>
            <property name="url" value="jdbc:mysql://localhost:3306/test"/>
            <property name="username" value="你的用户名"/>
            <property name="password" value="你的密码"/>
     	   </dataSource>
        </environment>
    </environments>
	<!--    注入你的映射文件-->
   <mappers>
    <mapper resource="UserSelectLike.xml"></mapper>
    </mappers>
</configuration>
    • 这是测试类代码
    import org.apache.ibatis.io.Resources;
import org.apache.ibatis.session.SqlSession;
import org.apache.ibatis.session.SqlSessionFactory;
import org.apache.ibatis.session.SqlSessionFactoryBuilder;

import java.io.IOException;
import java.io.InputStream;

public class Test {
    public static void main(String[] args) throws IOException {
    InputStream resourceAsStream = Resources.getResourceAsStream("ConfigMapper.xml");
    SqlSessionFactory build = new SqlSessionFactoryBuilder().build(resourceAsStream);
    SqlSession sqlSession = build.openSession();
    //这是使用#{}fan方式进行模糊查询
//        List<User> 		users=sqlSession.selectList("com.wdhcr.mybatisSelectLike.mapper.UserSelectLike.selectLike","王	");
//        for (User user : users) {
//            System.out.println(user);
//        }
        //这是使用${}方式进行模糊查询
//        List<User> 	userList=sqlSession.selectList("com.wdhcr.mybatisSelectLike.mapper.UserSelectLike.selectLike1"	,"王");
//        for (User user : userList) {
//            System.out.println(user);
//        }
    }
}

  • 以上就是mybatis框架进行模糊查询时的两种传参方式,以及其中存在问题。

  • 下面我们来说我们正常开发中使用的方式,如下:

select * from user01 where name like concat('%',#{name},'%');
  • 使用以上这种方式 进行sql语句的拼接。
HUWD
关注
专栏目录
mybatis的#和$使用和区别
学无止境
02-27 865
mybatis的#和$使用和区别
mybatis框架的'$'和'#'的区别
非凡的博客
07-23 326
#{}:占位符号(在对数据解析时会对数据自动添加’ ') ${}: sql拼接符号(替换结果不会增加单引号‘’,like和order by后使用,存在sql注入问题,需手动代码过滤) 1、理解: mybatis 在对 sql 语句进行预编译之前,会对 sql 进行动态解析,解析为一个 BoundSql 对象,也是在此处对动态 SQL 进行处理的。在动态 SQL 解析阶段, #{ } 和 ${ }...
mybatis的#和$的区别
weixin_30871293的博客
03-26 108
一:先上结论   #{}:占位符号,好处防止sql注入   ${}:sql拼接符号 二:具体分析 动态 SQL 是 mybatis 的强大特性之一,也是它优于其他 ORM 框架的一个重要原因。mybatis 在对 sql 语句进行预编译之前,会对 sql 进行动态解析,解析为一个 BoundSql 对象,也是在此处对动态 SQL 进行处理的。在动态 SQL 解析阶段, #{ } 和 ${ ...
Mybatis框架${}和#{}的区别
weixin_47120348的博客
04-22 144
${}表示拼接sql串,可以将parameterType传入的内容拼接到sql,可以接收简单类型值和pojo值, #{}表示一个占位符,接收值,可以防止sql注入, #{}来代入值在sql拼接编译后变成一个?,表示了一个占位符,可以防止sql注入 而${}传递的值是直接就拼接到sql编译后称为内容可以运行,这两主要是在编写sql时拼接内容使用, mybatis框架提供了缓存支持,缓存的目的就是提高查询的效率,减少数据库的压力,mybatis框架将查询sql相同的结果存放在缓存,下次遇到就不会不会.
##在Mybatis框架#{}与${}有什么区别?你知道么?
weixin_30773135的博客
08-05 91
Mybatis框架#{}与${}有什么区别?你知道么?   #{}表示一个占位符号   通过#{}可以实现 preparedStatement 向占位符设置值,自动进行 java 类型和 jdbc 类型转换,#{}可以有效防止 sql 注入。 #{}可以接收简单类型值或 pojo 属性值。 如果 parameterType 传输单个简单类型值,#{}括号可以是 value 或...
Mybatis#和$的区别
01-05 6636
Mybatis$和#的区别
MyBatis-Plus入门+MyBatis-Plus文档手册 文pdf高清版.rar
11-09
mybatis在持久层框架还是比较火的,一般项目都是基于ssm。虽然mybatis可以直接在xml通过SQL语句操作数据库,很是灵活。但正其操作都要通过SQL语句进行,就必须写大量的xml文件,很是麻烦。mybatis-plus就很好的...
网上书城项目(采用框架Spring-SpringMVC-MyBatis).zip
04-29
这是一个网上书城项目,采用当前最流行的框架Spring-SpringMVC-MyBatis设计,主要是对之前用Jsp/Servlet做的一些优化,重构了整个系统,感觉还不错,学到了很多新的知识,能对SSM框架熟练的运用了。 这是一个网上...
mybatis-plus-generator-ui:对mybatis-plus-generator进行封装,通过Web UI快速生成兼容的Spring boot,mybatis-plus框架的各类业务代码
03-20
提供一致的Web UI用于生成兼容mybatis-plus框架的相关功能代码,包括Entity,Mapper,Mapper.xml,Service,Controller等,可以自定义模板以及各种输出参数,也可以通过SQL查询语句直接生成代码。 使用方法 ♡maven...
MyBatis框架使用#{}和${}的区别是什么?
最新发布
m0_64879579的博客
11-17 200
MyBatis框架使用#{}和${}的区别是什么? 防止SQL注入
mybatis的#{}与${}的区别
申振的博客
05-23 314
动态sql作为Mybatis框架的重要特征之一,在实际开发为开发人员提供了很大便利,我们需要将一系列参数传递到xml文件Mybatis会对其进行动态解析。Mybatis支持一下两种动态sql的语法:#{}和${},两者的区别在于一下几方面: 1.#{}会将传入参数以字符串方式处理,会自动为其加双引号。 2.${}会将传入参数直接显示在sql语句,所以${}一般用于传入数据库对象,例
Mybatis #{} 和 ${} 的区别是什么
大房子爱生活的博客
03-16 2672
动态sql是mybatis的强大特性之一也是这个框架优于其他框架的一个原因,mybatis在对sql进行预编译之前会对sql语句进行动态解析,#{}和${} 则会有不同的表现: 1.#{}在动态解析的时候回解析成 一个参数的标记符,会将sql的#{}解析替换成一个?,最后注入的值是带引号的,例如: 解析前:select * from user where name = #{name} 解析后:s...
Mvaen框架& #{}与${}的区别【面试】
weixin_61300833的博客
09-23 102
Mvaen框架 #{}与${}的区别【面试】 #{} 可以防止sql注入 会对sql语句进行预编译|解析,传递什么参数进来,仅仅是顶替占位#{}而已一般使用的都是这个#{} #{} 背后会自动的拼接上 ' ' ${}不能防止sql注入 不会对sql语句进行预先编译,传递什么参数进来,不会仅仅认为这数据,会和sql语句做拼接之后再解...
面试问题:持久层框架Mybatis#{}与${}的区别
qq_43431171的博客
06-13 357
#{}与${}的区别 之前把Mybatis持久层框架学完了,于是找了些面试题看来一下,发现好多问题还不太明白。
MyBatis#{}和${}的区别
热门推荐
siwuxie095's blog
01-28 8万+
------------------------siwuxie095                         MyBatis #{} 和 ${} 的区别       1、在 MyBatis 的映射配置文件,动态传递参数有两种方式:    (1)#{} 占位符    (2)${} 拼接符          2、#{} 和 ${} 的区
Mybatis#{}和${}的用法
li_w_ch的博客
11-17 1万+
1、#{}将传入的数据当作一个字符串,会对传入的数据加上一个双引号。 比如, select * from student where student_name = #{studentName} 如果传入的值为xiaoming,那么解析成sql的值为student_name="xioming"。 2、${}将传入的数据直接显示生成在sql。 如 : select ${fieldNmae} from student where student_age = 18 此时,传入的参数作为要查询的字
Mybatis的XxMapper.xml${} 和#{} 的区别
疙瘩陈
06-01 3662
参考:Mybatis 在传参时,${} 和#{} 的区别   好记性不如烂笔头。         其实学完Mybatis已经有3个多月了,但是今天写了个接口,需要到XXXMapper.xml文件里面配置方法的时候被难住了,那就是接口的那个参数在parameterType里面到底是采用#的方式还是$的方式?这就真的尴尬了,当初学这个的时候可是记得很清楚了,内心也是很有把握,不就是一个#和$...
mybatis里面的#和$之间的区别
人生有点bug的程序员的博客
11-06 5402
mybatis有两个常见的符号#和$,在进行变量的赋值的时候是很常见的,我的理解就是#是需要进行编译的,是字符串进行编译之后在放入到sql,如果不是单纯的字符串替换,而$是直接进行字符串的替换工作,两者各有有缺点。 一、# 我们一般在刚刚接触到mybatis的时候都是使用的是#{变量名字},来进行sql语句的赋值工作,比如 select * from table_name where na...
Mybatis-Plus:简化MyBatis的高效CRUD框架
Mybatis-Plus 是一款在Java开发用于数据库操作的轻量级框架,它是MyBatis框架的一个扩展,旨在进一步简化数据库的增删改查(CRUD)操作。作为一个高效的工具,Mybatis-Plus有以下几个主要特点: 1. **无侵入性**:...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值