mybatis中“#{}“和“${}“的区别

最新推荐文章于 2024-05-22 01:54:13 发布
最新推荐文章于 2024-05-22 01:54:13 发布
阅读量648 收藏 3
点赞数
文章标签: sql mybatis java mysql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45282899/article/details/108767378
版权
前言

动态 sql 是 mybatis 的主要特性之一,在 mapper 中定义的参数传到 xml 中之后,在查询之前 mybatis 会对其进行动态解析。mybatis 为我们提供了两种支持动态 sql 的语法:#{} 以及 ${} 。

#{ }

1、#相当于对数据 加上 双引号,$相当于直接显示数据。

2、#{} : 根据参数的类型进行处理,比如传入String类型,则会为参数加上双引号。#{} 传参在进行SQL预编译时,会把参数部分用一个占位符 ? 代替,这样可以防止 SQL注入。

${ }

3、${} : 将参数取出不做任何处理,直接放入语句中,就是简单的字符串替换,并且该参数会参加SQL的预编译,需要手动过滤参数防止 SQL注入。
4、因此 mybatis 中优先使用 #{};当需要动态传入 表名或列名时,再考虑使用 ${} , 比 较 特 殊 , 他 的 应 用 场 景 是 需 要 动 态 传 入 表 名 或 列 名 时 使 用 , M y B a t i s 排 序 时 使 用 o r d e r b y 动 态 参 数 时 需 要 注 意 , 用 {} 比较特殊, 他的应用场景是 需要动态传入 表名或列名时使用,MyBatis排序时使用order by 动态参数时需要注意,用比较特殊,他的应用场景是需要动态传入表名或列名时使用,MyBatis排序时使用orderby动态参数时需要注意,用而不是#。

举例

例如:
1、#对传入的参数视为字符串,也就是它会预编译,select * from user where user_name=${rookie},比如我传一个rookie,那么传过来就是 select * from user where user_name = ‘rookie’;

2、$不会将传入的值进行预编译, select * from user where user_name= ${rookie} ,那么传过来的sql就是:select * from user where user_name=rookie;

3、#优势在于它能很大程度防止sql注入,$ 不行。比如:用户进行一个登录操作,后台sql验证式样的:
select * from user where user_name=#{name} and password = #{pwd},如果前台传来的用户名是“rookie”,密码是 “1 or 2”,用#的方式就不会出现sql注入,换成用$ 方式,sql语句就变成了 select * from user where user_name=rookie and password = 1 or 2。这样的话就形成了sql注入。

未来可期呀
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
mybatis 动态传入表名 注解_MyBatis构建sql时动态传入表名以及字段名
weixin_39916758的博客
12-20 732
今天项目需要用到动态表名,找到这一篇文章,亲测可用用了mybatis很长一段时间了,但是感觉用的都是比较基本的功能,很多mybatis相对ibatis的新功能都没怎么用过。比如其内置的注解功能之类的。这次遇到了一个问题,每次我们在配置mybaits时,需要在mapping.sql.xml文件写对应的执行sql脚本。这时我们一般会先定义实体类来作为sql的返回类型或者执行sql的参数类型。比如如下...
mybatis 动态传入表名 注解_Mybatis 动态表名+Map参数传递+批量操作详解
weixin_33834241的博客
01-15 1119
需求:之前项目一个变动,需要对3张mysql数据库表数据进行清洗,3张表表名不同,表结构完全相同,需要对这3张表进行相同的增、改、查动作,一开始比较紧急先对一张表进行操作,后来复制了3个一样的 service、dao、mapper等。后来对代码进行优化,研究了一下动态表名的处理。1,查询操作:查询操作只需要传入动态表名的时候,传递参数仍然是mapmapper.xml内,需要使用statementT...
mybatis plus 的动态表名的配置详解
09-07
主要介绍了mybatis plus 的动态表名的配置详解,文通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
MyBatis】参数占位符 #{} 和 ${}
最新发布
qq_45875349的博客
05-22 954
#{}和${}区别详解
@param注解_你了解几种MyBatis @Param 注解的使用场景
weixin_39932181的博客
11-27 280
四种使用场景,最后一种经常被人忽略!有一些小伙伴觉得 MyBatis 只有方法存在多个参数的时候,才需要添加 @Param 注解,其实这个理解是不准确的。即使 MyBatis 方法只有一个参数,也可能会用到 @Param 注解。但是,在你总结出规律之前,你可能会觉得莫名其妙,有的时候一个参数明明不用添加 @Param 注解,有的时候,却需要添加,不添加会报错。有的人会觉得这是 MyBatis 各...
mybatis 动态传入表名 注解_MyBatis Plus之注解实现动态SQL
weixin_39864591的博客
12-20 997
使用MyBatis,所有的Dao层方法继承基类BaseMapper一、使用脚本包裹第一种方式:使用进行包裹,像在xmlsql语句一样实现动态SQL1、使用标签,实现关键词模糊查找@Mapperpublic interface CompanyMapper extends BaseMapper {// 分页查询@Select("" +" select t.*,a.name_cn as compan...
浅谈Mybatis #和$区别以及原理
08-18
浅谈Mybatis #和$区别以及原理 Mybatis是一款流行的持久层框架,它提供了两个占位符:#和$,它们均用于参数化SQL语句,但是它们的作用和原理却有所不同,本文将详细介绍这两者的区别和原理。 #和$的区别 在...
浅谈mybatis的#和$的区别
09-02
MyBatis,`#`和`$`是用来动态构造SQL语句的占位符,它们的区别主要在于SQL预编译和防止SQL注入的能力。理解这两种符号的用法对于编写安全、高效的MyBatis映射文件至关重要。 1. `#`占位符: - `#`将传入的数据...
Mybatis#{}和${}传参的区别及#和$的区别小结
09-02
MyBatis框架,`#{}`和`${}`是两种不同的参数占位符,它们在处理传参时有着显著的差异,同时也关联到`#`和`$`的区别。理解这些差异对于编写安全且高效的SQL查询至关重要。 首先,`#{}`是MyBatis的预编译参数占位...
Mybatis下动态sql##和$$的区别讲解
08-26
Mybatis下动态sql##和$$的区别讲解 Mybatis是一款流行的ORM框架,能够帮助开发者快速构建数据库交互应用程序。在Mybatis,动态SQL是一种强大特性,能够根据不同的输入参数生成不同的SQL语句。在Mybatis,使用...
mybatis面试题#和$的区别.pdf
04-24
mybatis面试题#和$的区别.pdf
解放双手,不写SQL!一个开源mybatis神器
小詹学python的博客
10-21 347
作者:倪骏来源:sq.163yun.com/blog/article/198894931418546176什么是通用 Mapper?它是一个可以方便的使用 Mybatis 进行单表的增删...
mybatis 表名做为参数
qq_42058242的博客
02-02 698
mybatis传递参数有两种方式 #{param} 这种传递的是带双引号的变量 ${param} 这种传滴的是字面量 比如 tab = tb_user select * from #{tab} 就会被解释成 select * from 'tb_user' 这样肯定是不对的,sql语句的表不应该加双引号 所以应该写成 select * from ${tab} ${}会直接翻译不加引号,就会解释成正确的sql语句 select * from tb_user ...
Mybatis动态传入tableName--非预编译(STATEMENT)
泊停的博客
11-21 945
在使用Mybatis过程,你可以体会到它的强大与灵活之处,由衷的为Mybatis之父点上999个赞!在使用过程经常会遇到这样一种情况,我查询数据的时候,表名称是动态的从程序传入的,比如我们通过mybatis的xml文件写sql查询时都是下面的样子:1、正常的查询 1 2 3 <select id="activityEnrollModelTableName" p...
mybatis动态传表名(可以不加statementType="STATEMENT")
HD243608836的博客
03-20 830
问:mybatis动态传表名,是不是要加一个statementType="STATEMENT"? 答: ①不用加“statementType="STATEMENT"”就可以;(进化了!!更灵活!) ②的确是用${}。 ③如果直接采用${},的确是不安全,会有SQL注入攻击的危险。一般会在SpringMVC层将敏感字符转义。比如">"用“&gt;”表示,网上有很多封装函数,或者...
mybatis 动态传入表名、列名
西凉的悲伤博客
03-15 3170
要实现mybatis 动态传入表名、列名,sql里的属有变量取值都改成${xxxx},而不是#{xxx}。 例如: java代码: String url="https://uat.fcsc.com/group1/M00/00/60/CuDJ1WBOzBWAP27uAAAh-f45_b4213.jpg"; Map<String, Object> map = new HashMap(); map.put("id", 96); map.put("fi
MyBatisMyBatis如何动态传入表名和字段名?
热门推荐
小包同学_
07-15 1万+
MyBatisMyBatis如何动态传入表名和字段名? 在说明MyBatis如何动态传入表名之前,我们先来说说MyBatis的#{}和${}的用法。 mybatis里#{}与${}的用法 在动态sql解析过程,#{}与${}的效果是不一样的: #{} 解析为一个 JDBC 预编译语句(prepared statement)的参数标记符。 如以下sql语句 select * from user where name = #{name}; 会被解析为: select * from user where
MyBatisMyBatis如何动态传入表名和字段名?肝完这篇我会了!!
冰河的专栏
08-04 3976
写在前面 一些小伙伴在公众号后台留言说,冰河,你能不能肝一篇在MyBatis动态传入表名的文章?因为我们使用MyBatis需要实现分库分表的功能,这个场景需要MyBatis支持动态传入表名和字段名!我:没问题,安排上。 在说明MyBatis如何动态传入表名之前,我们先来说说MyBatis的#{}和${}的用法。 mybatis里#{}与${}的用法 在动态sql解析过程,#{}与${}的效果是不一样的: #{} 解析为一个 JDBC 预编译语句(prepared statement)的参数标记符。
mybatis动态sql#{}和${}的区别
北城寒冰
04-15 452
(1)#{}表示一个占位符号,通过#{}可以实现preparedStatement向占位符设置值,自动进行java类型和jdbc类型转换,#{}可以有效防止sql注入。#{}可以接收简单类型值或pojo属性值。如果parameterType传输单个简单类型值,#{}括号可以是value或其它名称。 (2)表示拼接sql串,通过{}表示拼接sql串,通过表示拼接sql串,通过{}可以将parameterType传入的内容拼接在sql且不进行jdbc类型转换,可以接收简单类型值或pojo属性值,如果par
mybatis#和$的区别
06-07
MyBatis,#和$都是用于替换SQL语句的占位符的符号,但它们的处理方式不同。 #号表示占位符,通过预编译的方式将传入的参数值进行安全的替换,防止SQL注入攻击,同时将参数值转换为对应的JDBC类型。例如: ``...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值