Java #{} 和 ${} 的含义及区别

最新推荐文章于 2024-01-27 17:16:46 发布
最新推荐文章于 2024-01-27 17:16:46 发布
阅读量5.7k 收藏 25
点赞数 3
分类专栏: # ————— Mybatis 文章标签: 字符串 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_49770443/article/details/110390933
版权



#{ }

表示一个占位符,向占位符输入参数,MyBatis 会自动进行 Java 类型和 jdbc 类型的转换,且不需要考虑参数的类型,以预编译的方式传入,可以有效的防止 SQL 注入,提高系统安全性。例如:传入字符串,MyBatis 最终拼接好的 SQL 就是参数两边加单引号。



${ }

表示 SQL 的拼接,通过 ${ } 接收参数,将参数的内容不加任何修饰拼接在 SQL 中,以字符串替换方式 ${ } 替换成变量的值,可能存在 SQL 注入的安全隐患。在用于传入数据库对象,例如传入表名和列名,还有排序时使用 order by 动态参数时可以使用 ${ } 。



  • 注:
    一般能用 # 的就别用 $ ,若不得不使用 “ ${xxx} ” 这样的参数,要手工地做好过滤工作,以防止 SQL 注入攻击。




含义:
	#{}:为占位符
	
	${}:为拼接符



区别:

  用法:
  		#{}:为参数占位符?,即 SQL 预编译

        ${}为字符串替换, 即字符串拼接



 	执行流程:
  		#{}:动态解析 --> 预编译 --> 运行

  	    ${}: 动态解析 -->  编译  --> 运行



  变量替换:
  		#{}:变量替换是在 DBMS (数据库管理系统)中,会对对应的变量自动加上''

  	    ${}:变量替换实在 DBMS 外,不会对对应的变量加上''



  sql注入:
  		#{}:可以防止 SQL 注入

 	   ${}:不可以防止 SQL 注入

  


   
使用技巧:
	  不论是单个参数还是多个参数,一律建议使用 @param("")
	
	   能用 #{ } 的地方尽量使用 #{ },减少 ${ }
	
	   表名作为参数时,必须使用 ${ }
	
	     order by 时,必须使用 ${ }
	
	     使用 ${} 时要注意何时加或不加单引号










Note:
欢迎点赞,留言,转载请在文章页面明显位置给出原文链接
知者,感谢您在茫茫人海中阅读了我的文章
没有个性 哪来的签名!
详情请关注点我
持续更新中

扫一扫 有惊喜!
© 2020 11 - Guyu.com | 【版权所有 侵权必究】
故屿γ
关注
专栏目录
新人一看就懂: #{} 和 ${} 的区别
CYK_byte的博客
03-01 1万+
1、#{} 是预编译处理,${} 是直接替换;2、${} 存在SQL注入的问题,而 #{} 不存在;Ps:这也是面试主要考察的部分~
java中#{} 和 ${} 的区别?
qq_45688811的博客
10-10 1438
需要注意的是,默认情况下,占位符的值被视为字符串。在Spring和MyBatis等框架中,可以通过设置相关配置来指定占位符的默认类型或执行自定义类型转换逻辑。是Property Placeholder占位符,用于在Java应用程序中引用外部属性或配置项的值。是MyBatis框架中使用的占位符,也被称为参数占位符。是Spring框架中使用的占位符,也被称为属性占位符。来表示一个参数占位符,它将会在SQL执行时被替换为实际的参数值。是MyBatis中使用的参数占位符,用于在SQL语句中插入参数值。
Java #{}和${}区别
u013217730的博客
05-15 1万+
Mybatis中使用#{}可以防止sql注入 #{}: 表示一个占位符号,实现向PreparedStatement占位符中设置值(#{}表示一个占位符?),自动进行Java类型到JDBC类型的转换(因此#{}可以有效防止SQL注入).#{}可以接收简单类型或PO属性值,如果parameterType传输的是单个简单类型值,#{}花括号中可以是value或其它名称. :表示拼接SQL串,通过{}: 表示拼接SQL串,通过:表示拼接SQL串,通过{}可将parameterType内容拼接在SQL中而不进行JDB
JavaEE进阶】 #{}和${}
最新发布
m0_71731682的博客
01-27 2183
{}:预编译处理,${}:字符直接替换#{}可以防⽌SQL注⼊,${}存在SQL注⼊的⻛险,查询语句中,可以使⽤#{},推荐使⽤#{}但是⼀些场景,#{}不能完成,⽐如排序功能,表名,字段名作为参数时,这些情况需要使⽤${}模糊查询虽然${}可以完成,但因为存在SQL注⼊的问题,所以通常使⽤mysql内置函数concat来完成。
Java)#{}与${}的区别
热爱技术,热爱生活!
12-09 1723
区别 1.#{}解析为一个 JDBC 预编译语句(prepared statement)的参数标记符,一个#{ }被解析为一个参数占位符;而${}仅仅为一个纯碎的 string 替换,在动态SQL 解析阶段将会进行变量替换。 #{}解析之后会将String类型的数据自动加上引号,其他数据类型不会;而${}解析之后是什么就是什么,他不会当做字符串处理。 #{}很大程度上可以防止SQL注入(SQL注入是发生在编译的过程中,因为恶意注入了某些特殊字符,最后被编译成了恶意的执行操作);而${}主要用于S.
详谈Java泛型中T和问号(通配符)的区别
08-28
Java泛型中T和问号(通配符)的...Java泛型中T和问号(通配符)的区别在于它们的使用场景和含义。T是泛型类型参数的代表,而问号(通配符)是泛型类型参数的占位符。正确地使用T和问号(通配符)可以提高代码的重用率和安全性。
java中Staticvoid的含义.docx
09-30
Java编程语言中,`static`关键字和`void`关键字都是极为重要的概念,它们分别代表不同的含义,并在定义方法时起到关键作用。 首先,我们来理解`void`这个词。在Java中,`void`是一个预定义的数据类型,它表示没有...
软件工程师 程序员10万字大厂应聘面试总结java面试题和答案.pdf
07-02
本文档是关于软件工程师程序员Java面试题和答案的总结,涵盖了Java语言的特点、面向对象和面向过程的区别、基本数据类型、标识符的命名规则、instanceof关键字的作用、Java自动装箱与拆箱等知识点。 一、Java语言的...
Java中\n和\r区别
08-31
总的来说,`\n` 和`\r` 是文本处理中的基本元素,它们的含义和行为取决于所运行的操作系统。了解它们的历史渊源以及在不同环境下的工作方式,有助于编写更加健壮和适应性的程序。在Java中,开发者应当注意这些细节,...
Java super和this的对比及使用
08-29
"Java super和this的对比及使用" Java中的super和this是两个非常重要的关键字,它们在Java编程中扮演着非常重要的角色,但是在实际使用中,很多开发者会将它们混淆,或者不了解它们的真正用途。因此,本文将对Java...
#{}和${}的区别
灵思哑舍
10-09 238
(1)n#{}表示一个占位符号,通过#{}可以实现preparedStatement向占位符中设置值,自动进行java类型和jdbc类型转换,#{}可以有效防止sql注入。#{}可以接收简单类型值或pojo属性值。如果parameterType传输单个简单类型值,#{}括号中可以是value或其它名称。 (2)n${}表示拼接sql串,通过${}可以将par...
java ${}和#{}区别
weixin_42418334的博客
10-28 1209
一、 1 select * from user where name = #{name}; 动态解析为: 1 select * from user where name = ?; 一个 #{ } 被解析为一个参数占位符 ? 。 而${ } 仅仅为一个纯碎的 string 替换,在动态 SQL 解析阶段将会进行变量替换。 例如,Mapper.xml中如下的 sql: 1 select *
《从Java面试题来看源码》,#{} 和 ${} 的区别
分享技术干货和灵感、推荐新书和好玩的项目、分享Java面试题
05-30 276
面试题:#{} 和 ${} 的区别是什么? #{}会对 sql 预编译处理,将#{}替换为占位符,字符串会变为 'xxx'。${}则是直接替换变量 我们结合项目通过源码来看看两者是怎么解析的。这样不会无聊,也能加深印象。 在 mybatis 与 spring 集成的项目中,SqlSessionFactory 由 SqlSessionFactoryBean 创建 以格式化delete from sys_attach where id = #{id}为例时序图是这样,你可以根据根据时序图跟......
java中"#"与"$"的区别
干饭两斤半
09-05 1万+
“#” 会生成 ? 占位符, $ 会直接拼接 sql 字符串 insert into 表 values(#{id} , #{username}, #{password }) insert into 表 values(?,?,?) insert into 表 values(${id} , '${username}', '${password }') insert into 表 values(1...
#{} 和 ${}
Mercuriooo的博客
11-30 923
不同之处 #{} ${} 简单类型(8个基本类型和String) #{xx}xx可以随便写 ${value} 其中的标识符只能是value 对象类型(都必须是属性名) #{属性名} ${属性名} sql注入 .#{}可以防止SQL注入 ${}不防止 对于String的处理 自动给String加上’ ’ ${} 原样输出 关于String: #{}会自动给Strin...
java EL表达式中${param.name}详细
热门推荐
q542928492的专栏
06-15 2万+
在浏览器地址输入,表示传入一个参数test,值为123 URL:http://localhost:8888/Test/index.jsp?test=123 body> ${test} ${requestScope.test} request.getAttribute("test"); %> body> 以上代码均不能取出值 仅当 使用
Java 中 #{}和${}的区别是什么?
sunshine2019418的博客
01-03 1014
Java 中 #{}和${}的区别是什么? #{}一定不能写在引号里面,${}一定要写在引号里面 如果是pojo、map类型的参数,无论是#{}还是${}里面都是些属性名 如果是简单类型的参数,#{}里面可以写任意字符串,但是${}里面只能写value(以前的版本) 如果使用#{}引入参数的话,会将 sql 中的#{}替换为?号,调用 PreparedStatement 的set 方法来赋值;而使用${}引入参数的话,是直接拼接SQL语句 所以使用#{}可以有效的防止 SQL 注入,提高系统安全性 .
MyBatis中#{}和${}的区别详解
halo0623的博客
01-09 260
首先看一下下面两个sql语句的区别: <select id="selectByNameAndPassword" parameterType="java.util.Map" resultMap="BaseResultMap"> select id, username, password, role from user where username = #{user...
Struts2 条件判断表达式解析:% # $ 的用法
本文将详细解释Struts2框架中`s:if`标签中`% # $`的区别和用法。 在Struts2框架的视图层,我们常常会使用`s:if`标签来进行条件判断,其中`%`, `#`, `$`是三种不同的引用方式,它们分别代表不同的含义: 1. `%`:在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值