MyBatis之【#{}、${}占位符】

最新推荐文章于 2023-07-19 08:31:43 发布
最新推荐文章于 2023-07-19 08:31:43 发布
阅读量295 收藏
点赞数 1
分类专栏: MyBatis 文章标签: sql linq 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_48485216/article/details/124696620
版权

#{}

1、传参大部分使用#{}传参,它的底层使用的是PreparedStatement对象,是安全的数据库访问,可以防止sql注入。

2、#{}中如何写,看parameterType的参数类型

(1)如果parameterType的类型是简单类型(8种基本(封装)+ String),则#{}中随便写

(2)如果parameterType的类型是实体类的类型,则#{}中只能是类中成员变量的名称,而且区分大小写

${}

1、字符串拼接

(1)一般用于模糊查询,建议少用,因为有sql注入的风险

(1)如果parameterType的类型是简单类型(8种基本(封装)+ String),则${}中随便写,但是分版本,如果是3.5.1及以下的版本,只能写value

(2)如果parameterType的类型是实体类的类型,则${}中只能是类中成员变量的名称,而且区分大小写(不常用)

(2)优化后的模糊查询(concat函数拼接)

<select id="getLikeGood" parameterType="string" resultType="users">
    select id,username,birthday,sex,address
    from users
    where username like concat('%', #{name}, '%')
</select>

2、字符串替换

例子如下:

<!-- 当参数多于一个时,不写parameterType 
    // 模糊查询列和值
    List<Users> getByNameOrAddress(
            @Param("columnName")
            String columnName,
            @Param("columnValue")
            String columnValue);
-->
<select id="getByNameOrAddress" resultType="users">
    select id,username,birthday,sex,address
    from users
    where ${columnName} like concat('%', #{columnValue}, '%')
</select>

测试:

SqlSession sqlSession;
UsersMapper usersMapper;
SimpleDateFormat sf = new SimpleDateFormat("yyyy-MM-dd");
@Before
public void openSqlSession() throws IOException {
    // 读取核心配置文件
    InputStream in = Resources.getResourceAsStream("SqlMapConfig.xml");
    // 创建工厂对象
    SqlSessionFactory factory = new SqlSessionFactoryBuilder().build(in);
    // 取出SqlSession
    sqlSession = factory.openSession();
    // 取出动态代理的对象,完成接口中方法的调用
    // 实际是调用xml文件中相应标签的功能
    usersMapper = sqlSession.getMapper(UsersMapper.class);
}

@After
public void closeSqlSession(){
    sqlSession.close();
}
@Test
public void testGetByNameOrAddress(){
    List<Users> list = usersMapper.getByNameOrAddress("username", "小");
    list.forEach(users -> System.out.println(users));
}
电动蛋黄
关注
专栏目录
mybatis的#和$使用和区别】
学无止境
02-27 888
mybatis的#和$使用和区别】
MyBatis中#和$区别?
你只管努力,
11-25 286
1.#是占位符。 $是用来拼接字符,虽然也是占位但是做不了字符的转换。#自动转换 日常报标识符无效的异常 2.#直接获取属性名称 $首先去获取properties文件的属性名称,没有的话再去对象或者参数中找。 3.#占位符 $拼接字符串,容易出现SQL注入。 为什么要引入$符号? 因为当数据库非常大的时候需要进行分库和分表, 数据量大的时候#无法处理 这时候就需要$来处理了。传...
mybatis实现模糊查询
u011869495的博客
07-22 1454
@Select("select * from user_information where user_alias like '%#{name}%')") 由于模糊查询需要添加单独的   '    ' 导致占位符被当做字符串而没有被替换,会造成如下异常: org.mybatis.spring.MyBatisSystemException: nested exception is org.
Mybatis中的 # 和 $
Cbuc丶的博客
09-02 950
浅谈Mybatis 中的 # 和 $ 在使用mybatis的mapper文件中,对于传递的参数我们一般是使用#和$来获取参数值。 使用#时变量占位符,就是一般我们使用java jdbc的PrepareStatement时的占位符?,所有可以防止sql注入 使用$时,变量就是直接追加在sql中,一般会有sql注入问题。 1、#{ }是预编译处理,MyBatis在处理#{ }时,它会将s...
mybatis 中的#{} 和 ${}
weixin_43832730的博客
01-02 1661
mybatis 中的#{} ${} #{} 在mybatis中,底层是用PreparedStatement方法,调用pojo类的set() 来赋值的。MyBatis在处理#{ }时,它会将sql中的#{ }替换为? 优点:防止SQL注入。 缺点:执行效率低。 ${} 在mybatis中。底层是用字符串拼接实现的。 优点:执行效率高 缺点:不能防止SQL注入。 注意:${} 比 #{} 快很多,当数据量很高时,SQL查询使用 #{} 会导致数据库cpu飙高、查询超时。因此要慎重使用 #{} 扩展:spring
Mybatis中关于#{} 和${} 格式的占位符
Melody_1943的博客
06-14 488
● 在Mybatis中,配置SQL语句时,参数可以使用#{}或${}格式的占位符●例如存在需求:分页查询表中的所有数据。●需要执行的SQL语句大致是: ● 则此功能的抽象方法应该是: ● 配置SQL语句: ● 其实,使用#{}格式的占位符时,Mybatis在处理时会使用预编译的做法,所以,在编写SQL语句时不必关心数据类型的问题(例如字符串值不需要添加单引号),也不存在SQL注入的风险!这种占位符只能用于表示某个值,而不能表示SQL语句片段!● 当使用${}格式的占位符时,Mybatis在处理时会先将参数值
Mybatis框架|模糊查询|占位符与取值符
匿名攻城狮
02-08 2473
文章目录一、问题说明二、使用Mybatis进行模糊查询1.创建数据库表user2.JavaBean3.Mybatis配置4.User.xml配置5.模糊查询测试三、占位符与取值符 一、问题说明 使用模糊查询,在数据库中查询名字中带有"周"字的人的信息,可以使用如下的模糊查询语句: SELECT id,username,sex,address,birthday FROM user where ...
浅谈Mybatis #和$区别以及原理
08-18
Mybatis是一款流行的持久层框架,它提供了两个占位符:#和$,它们均用于参数化SQL语句,但是它们的作用和原理却有所不同,本文将详细介绍这两者的区别和原理。 #和$的区别 在Mybatis中,#和$都是占位符,但是它们...
Mybatis中#{}和${}传参的区别及#和$的区别小结
09-02
MyBatis框架中,`#{}`和`${}`是两种不同的参数占位符,它们在处理传参时有着显著的差异,同时也关联到`#`和`$`的区别。理解这些差异对于编写安全且高效的SQL查询至关重要。 首先,`#{}`是MyBatis的预编译参数占位...
Mybatis之#{}与${}的区别使用详解
08-19
#{}是Mybatis中的一种占位符,用于将参数传递给SQL语句。在SQL语句中,#{}将被替换为一个问号(?),以便防止SQL注入。例如,在以下示例代码中,#{}将被替换为一个问号: ```sql select * from t_emp WHERE emp_...
Mybatis多条件模糊查询占位
bwxt123的博客
08-10 201
<select id="categoryGetFilm" resultType="com.TKW.pojo.Film"> select * from film_message where category = #{category} <if test="param !=null and param !=''"> AND ${param} LIKE concat('%',#{search},'%') </if
一文解惑mybatis中的#{}和${}
最新发布
一个菜鸡的博客
07-19 5751
{}先编译sql语句,再给占位符传值,底层是PreparedStatement实现。可以防止sql注入,比较常用。${}先进行sql语句拼接,然后再编译sql语句,底层是Statement实现。存在sql注入现象。只有在需要进行sql语句关键字拼接的情况下才会用到。
MyBatis模糊查询
vinson的博客
01-28 599
mybatis的模糊查询功能使用的很广泛,以MySQL数据库为例(不同的数据库,有些可能不支持) 常用的模糊查询有三种方法: 直接使用 % 拼接字符串,如 '%'#{name}'%' 或 "%"#{name}"%",单引号或双引号都可以。使用concat(str1,str2)函数拼接使用mybatis的bind标签 select id="getUsersByFuzzyQu
MyBatis——占位符,转义字符,多元素查询(模糊查询),动态sql(多条件中多查询,多条件中单查询)
prisoneradvance的博客
03-06 1274
占位符
MyBatis中的OGNL表达式
lihaomuye的专栏
08-08 5303
关于mybatis中llike模糊查询中#和$的使用
热门推荐
长河的博客
10-14 14万+
mybatis中经常要写到like 查询,以前从来没有遇到什么问题,突然遇到一个问题,找了好长时间没找到,最后找到了,是关于#和$的使用的,总结如下: name like 表达式 and falg=#{falg} 本次示例中共两个条件,一个是name like 表达式, 还有flag相等,这个是使用#{}占位符,没有任何问题,关键问题就是 表达式的书写.下面来研究下表达式的...
mybatis占位符转义的解决方式
不积跬步无以至千里,不积小流无以成江河
09-18 1630
今天同事发现根据名称模糊查询的时候数据 % 会查询所有的数据,其实是 ‘ % ’ ,‘_’都是关键字符,所以需要对这样的字符进行转义,方式如下: 1.已经写好了工具类,直接用就好了 /** 将参数中包含的%_通配符 先进行转义 */ public static String ContainWildcard(String args) { if (!PubUtils.isNull(arg...
Mybatis 中 #{} 和 ${} 该如何选用?
u013208623的博客
12-25 791
在使用Mybatis时,应该尽量使用#{}占位符,这样可以防止SQL注入攻击,提升程序的安全性。如果确实需要使用${}占位符,应该先对参数值进行转义,再将转义后的参数值传入。
一文详解Mybatis占位符#和$的区别?
Java技术攻略的博客
03-14 613
由上经过源码分析,我们知道Mybatis对#{}占位符是直接转换成问号,拼接预处理 sql。${}占位符是原样拼接处理,有sql注入风险,最好避免由客户端传入此参数。
mybatis中的$和#占位符区别,sql注入怎么解决?
06-12
MyBatis中的#{}和${}都是用于占位符的,但是它们的作用有所不同。 #{}用于预编译参数,它会将参数值转义后再拼接到SQL语句中,可以有效防止SQL注入攻击。 ${}用于拼接SQL语句,它会将参数值原封不动地拼接到SQL...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值