mybatis的#{}和${}的详细区别和底层实现

最新推荐文章于 2024-08-02 16:18:07 发布
最新推荐文章于 2024-08-02 16:18:07 发布
阅读量958 收藏 6
点赞数 1
文章标签: mybatis java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_47389462/article/details/108051613
版权

mybatis的#{}和${}的区别和底层实现

${} (Statement实现):

1、只是简单的替换,传递的参数会被当成sql语句中的一部分(不能防止sql注入)
2、建议like和order by后使用

#{} (PreprareStatement实现):

1、解析为一个 '?'占位符号,会对自动传入的数据加一个双引号(可以防止sql注入)

预编译的机制:预编译是提前对SQL编译之前进行预编译,而其后注入的参数将不会再进行编译。因为SQL注入是发生在编译的过程中,因为恶意注入了某些特殊字符,最后被编译成了恶意的执行操作。所以预编译机制则可以很好的防止SQL注入

最秃不过程序员
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
MyBatis底层实现(二)SQL注入之$和#
surpass0728的博客
06-14 1895
SQL注入是一种数据库攻击手段。攻击者通过向应用程序提交恶意代码来改变原SQL语句的含义,进而执行任意SQL命令,达到入侵数据库乃至操作系统的目的。注入类型有三种:基本类型   自定义类型    Map集合类型<select id="queryByUserName" resultMap="userResultMap" parameterType="String"> ...
深度分析:mybatis底层实现原理,看完你学会了吗?
欢迎您访问我的公众号【前程有光】
07-05 659
前言 最近在和粉丝聊天的时候被粉丝问到jdbc和mybatis底层实现这一块的问题,而且还不止一个小伙伴问到,于是我似乎认识到了问题的严重性,我花了两天时间整理了一下自己的认识和网上查阅的资料写了这篇文章,话不多说,满满的干货都在下面了。 在说mybatis底层实现之前,先看下基本的知识点jdbc jdbc是连接数据库的最基本实现,任何对数据库的操作都是基于jdbc 1. 注册驱动 Class.forName("com.mysql.jdbc.Driver"); 2.获取数据库连接 Connection c
mybatis中 ${}和#{}的区别 以及底层原理
hjfalz的博客
10-08 2210
${}: 不会自动加 ' ',如果传入参数为简单类型,那么必须写 ${value},如果是对象,写的是${属性名}; 底层解析的时候只要sql语句包含 ${ } ,在创建cofigration对象的时候,这条sql就会被解析成动态类型的语句,底层不会把 ${ } 转成 ?(不做处理),只会在使用Mapper接口代理对象进行数据操作的时候把#{ }转成 ?,把${ }转成mapper接口的参数值,所以会存在SQL注入的问题 #{}: 对于字符串会自动加 ' ',如果传入参数为简...
Mybatis实战:#{} 和 ${}的使用区别和数据库连接池
最新发布
LHY537200的博客
08-02 1494
{} 和 ${}#{} 和 ${} 在MyBatis框架中都是用于SQL语句中参数替换的标记,但它们在使用方式和处理参数值上存在一些显著的区别。特点1.1Interger类型的参数1.先看Interger类型的参数2.观察日志3.查看日志中的输出语句我们输⼊的参数并没有在后⾯拼接,id的值是使⽤?进⾏占位. 这种SQL 我们称之为"预编译SQL"。4.我们把#{}改成${}5.再次查看输出日志信息可以看到, 这次的参数是直接拼接在SQL语句中了。
解析Mybatis底层实现原理
weixin_43701606的博客
08-20 1041
Mybatis是一个基于java的持久层框架,支持自定义SQL、存储过程以及高级映射,免去了几乎所有的 JDBC 代码以及设置参数和获取结果集的工作,极大提高了开发的效率 为深入理解Mybatis,将从以下三个类来剖析Mybatis的执行流程: SqlSessionFactoryBuilder 这个类可以被实例化、使用和丢弃,一旦创建了 SqlSessionFactory,就不再需要它了。 因此 SqlSessionFactoryBuilder 实例的最佳作用域是方法作用域(也就是局部方法变量)。 你可以
彻底搞懂MyBatis中${}和#{}
qq_63815371的博客
01-12 1186
目录 一、搭建模拟场景 二、SQL注入问题 三、#{}和${}的区别 四、#{}底层是如何防止SQL注入的? 五、那么问题来了:什么时候用#{},什么时候用${}呢? 一、搭建模拟场景 数据库数据 DAO接口 Mapper.xml 执行测试代码 package com.luck.bookstore.ware; import ... @RunWith(SpringRunner.class) @SpringBootTest public class Bo
浅析mybatis和spring整合的实现过程
09-03
这个库使得Mybatis与Spring的集成更加平滑,允许开发者充分利用两者的优点,实现数据访问层的灵活管理和事务控制。 在整合过程中,`SqlSessionFactoryBean`扮演了核心角色。它继承自`FactoryBean`,是Spring容器中...
手写mybatis实现,剖析mybatis底层原理
06-27
手写mybatis实现,剖析mybatis底层原理
mybatis框架底层原理分析(会话工厂和缓存机制)附详细代码示例
m0_48717384的博客
10-18 459
sqlsession会话底层创建过程以及debug跟踪mybatis一级缓存和二级缓存的底层实现原理
hibernate和mybatis对比分析
08-29
1. Hibernate和MyBatis是当前最流行的O/R mapping框架,分别属于Jboss和Apache子项目。 2. Hibernate提供了较为完整的封装对数据库结构,实现了POJO和数据库表之间的映射,以及SQL的自动生成和执行。程序员可以通过...
Mybatis中的#和$的区别
qq_39326137的博客
03-27 125
mybatis中,配置参数要用#,不要用$符号。因为$不安全,容易被sql注入。 自己可以写代码用#,$配置参数后面加上1=1永真条件试一试
mybatis使用#{}和${}的区别和原理
felix
09-09 445
#{}号的含义 默认情况下,使用 #{} 参数语法时,MyBatis 会创建 PreparedStatement 参数占位符,sql预编译,并通过占位符安全地设置参数(就像使用 ? 一样)。 ${}号含义 ${ } 仅仅为一个纯碎的 string 替换,在动态 SQL 解析阶段将会进行变量替换 ${ } 的变量的替换阶段是在动态 SQL 解析阶段。 两者对比 (1) #{} 为参数占位符 ?,即sql 预编译 ${} 为字符串替换,即 sql 拼接 (2) #{}:动态解析 -> 预编
MyBatis
qq_35602298的博客
10-25 336
mybatis的工作原理 mybatis是一个数据持久层框架,它封装了jdbc,简化了对数据库增删改查的操作,简化了参数和结果集映射过程,让开发人员只需关注SQL本身。 工作原理: 1、加载配置:配置来源于两个地方,一处是配置文件,一处是Java代码的注解,将SQL配置信息加载成为一个MappedStatement对象(包括了传入参数映射配置,执行的SQL语句、结果映射配置),存储在内存中。 2...
Mybatis中的 # 和 $
Cbuc丶的博客
09-02 943
浅谈Mybatis 中的 # 和 $ 在使用mybatis的mapper文件中,对于传递的参数我们一般是使用#和$来获取参数值。 使用#时变量是占位符,就是一般我们使用java jdbc的PrepareStatement时的占位符?,所有可以防止sql注入 使用$时,变量就是直接追加在sql中,一般会有sql注入问题。 1、#{ }是预编译处理,MyBatis在处理#{ }时,它会将s...
Mybatis中#{}和${}的用法
热门推荐
li_w_ch的博客
11-17 1万+
1、#{}将传入的数据当作一个字符串,会对传入的数据加上一个双引号。 比如, select * from student where student_name = #{studentName} 如果传入的值为xiaoming,那么解析成sql的值为student_name="xioming"。 2、${}将传入的数据直接显示生成在sql中。 如 : select ${fieldNmae} from student where student_age = 18 此时,传入的参数作为要查询的字
Mybatis中使用${}和使用#{}
站在墙头上的博客
03-11 7029
Mybatis中${}和#{}的区别1、使用#{}2、使用${}3、总结 印象中一直认为使用Mybatis肯定能防止sql注入,前两天才发现我太天真了。防止sql注入也是有条件的,这我们就要了解下Mybatis中${}和#{}的使用了。 1、使用#{} Mybatis在对#{}进行预处理时,会把#{}处理成占位符,实际执行的时候才会把参数替换进去,相当于jdbc的PreparedStatement...
mybatis中#{}和${}的区别
Zhangsama1的博客
08-27 4703
​1:尽量使用#{},只要能使用#{}解决,尽量使用#{}​2:表名作为参数,使用order by排序的时候使用${}3:多参数的时候尽量使用@Param注解,@Param注解作用为给参数命名,命名后即可根据名字得到对应的参数值​。...
MyBatis中#{}和${}有什么区别
一个双子座的Java攻城狮
12-27 100
{}是预编译处理,MyBatis 在处理#{}时,它会将 sql 中的#{}替换为?,然后调用 PreparedStatement 的 set 方法来赋值;调用 preparedStatement 的 setString 方法传入参数可以防止 sql 注入,安全性更高。${}是字符串替换,MyBatis 在处理${}时,它会将 sql 中的${}替换为变量的值。这样,MyBatis 就不会修改或转义该字符串了。
mybatis底层实现原理
10-19
Mybatis底层实现原理主要包括以下几个方面: 1. SqlSessionFactory:SqlSessionFactory是Mybatis的核心接口,它负责创建SqlSession对象。SqlSession是Mybatis与数据库交互的核心对象,SqlSessionFactory通过它来创建SqlSession对象。 2. Configuration:Configuration是Mybatis的全局配置类,它负责管理Mybatis的所有配置信息,包括数据库连接信息、映射文件信息、缓存信息等。 3. Mapper接口:Mapper接口是Mybatis的另一个核心接口,它定义了数据库操作的方法,Mybatis底层利用JDK动态代理技术实现该接口,底层最后还是使用的IBatis中SqlSession通过Update、Select、Insert、Delete等方法操作。 4. SqlSession:SqlSession是Mybatis与数据库交互的核心对象,它负责管理数据库连接、事务提交、SQL的执行等操作。 5. Executor:Executor是Mybatis的执行器,它负责执行SQL语句,包括SQL的解析、参数绑定、结果集映射等操作。 总的来说,Mybatis底层实现原理主要是通过SqlSessionFactory创建SqlSession对象,SqlSession通过Executor执行SQL语句,最终将结果返回给Mapper接口。同时,Configuration负责管理所有的配置信息,包括数据库连接信息、映射文件信息、缓存信息等。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值