超详细MyBatis中 #{} 和 ${} 区别

已于 2022-04-08 13:59:21 修改
阅读量1k 收藏 3
点赞数
分类专栏: 数据库 文章标签: java mysql 数据库
于 2022-04-08 13:58:16 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52078607/article/details/124039662
版权

Mybatis的Mapper映射文件中,有两种方式可以引用形参变量进行取值: #{} 和 ${}。本文将简述两种方式的区别和适用场景。

一、取值引用

1) #{} 方式

#{}: 解析为SQL时,会将形参变量的值取出,并自动给其添加引号。 例如:当实参username="Amy"时,传入下Mapper映射文件后

    <select id="findByName" parameterType="String" resultMap="studentResultMap">
        SELECT * FROM user WHERE username=#{value}
    </select>

SQL将解析为:

SELECT * FROM user WHERE username="Amy"

2) ${} 方式

${}: 解析为SQL时,将形参变量的值直接取出,直接拼接显示在SQL中

例如:当实参username="Amy"时,传入下Mapper映射文件后

<select id="findByName" parameterType="String" resultMap="studentResultMap">
        SELECT * FROM user WHERE username=${value}
</select>

SQL将解析如下:

SELECT * FROM user WHERE username=Amy
显而该SQL无法正常执行,故需要在mppaer映射文件中的${value}前后手动添加引号,如下所示:

<select id="findByName" parameterType="String" resultMap="studentResultMap">
        SELECT * FROM user WHERE username='${value}'
</select>

SQL将解析为:

SELECT * FROM user WHERE username='Amy'

二、SQL 注入

${}方式是将形参和SQL语句直接拼接形成完整的SQL命令后,再进行编译,所以可以通过精心设计的形参变量的值,来改变原SQL语句的使用意图从而产生安全隐患,即为SQL注入攻击。现举例说明:

现有Mapper映射文件如下:

<select id="findByName" parameterType="String" resultMap="studentResultMap">
        SELECT * FROM user WHERE username='${value}'
</select>

当 username = “’ OR 1=1 OR '” 传入后,${}将变量内容直接和SQL语句进行拼接,结果如下:

SELECT * FROM user WHERE username='' OR 1=1 OR '';

显而易见,上述语句将把整个数据库内容直接暴露出来了

#{}方式则是先用占位符代替参数将SQL语句先进行预编译,然后再将参数中的内容替换进来。由于SQL语句已经被预编译过,其SQL意图将无法通过非法的参数内容实现更改,其参数中的内容,无法变为SQL命令的一部分。故,#{}可以防止SQL注入而${}却不行

三、适用场景

1)#{} 和 ${} 均适用场景

由于SQL注入的原因,${}和#{}在都可以使用的场景下,很明显推荐使用#{}。这里除了上文的WHERE语句例子,再介绍一个LIKE模糊查询的场景(username = “Amy”):

<select id="findAddByName" parameterType="String" resultMap="studentResultMap">
        SELECT * FROM user WHERE username LIKE '%${value}%'
</select>

该SQL解析为:

SELECT * FROM user WHERE username LIKE '%Amy%';

上述通过${}虽然可以实现对包含"Amy"对模糊查询,但是不安全,可以改用#{},如下所示:

<select id="findAddByName" parameterType="String" resultMap="studentResultMap">
        SELECT * FROM USER WHERE username LIKE CONCAT('%', #{username}, '%')
</select>

该SQL解析为下文所示,其效果和上文方式一致

SELECT * FROM USER WHERE username LIKE CONCAT('%', 'Amy','%');

2)只能使用${}的场景

由于#{}会给参数内容自动加上引号,会在有些需要表示字段名、表名的场景下,SQL将无法正常执行。现举一例说明:

期望查询结果按sex字段升序排列,参数String orderCol = “sex”,mapper映射文件使用#{}:

<select id="findAddByName3" parameterType="String" resultMap="studentResultMap">
        SELECT * FROM USER WHERE username LIKE '%Am%' ORDER BY #{value} ASC
</select>

则SQL解析及执行结果如下所示,很明显 ORDER 子句的字段名错误的被加上了引号,致使查询结果没有按期排序输出

SELECT * FROM USER WHERE username LIKE '%Am%' ORDER BY 'sex' ASC;

这时,现改为${}测试效果:

<select id="findAddByName3" parameterType="String" resultMap="studentResultMap">
        SELECT * FROM USER WHERE username LIKE '%Am%' ORDER BY ${value} ASC
</select>

则SQL解析及执行结果如下所示:

SELECT * FROM USER WHERE username LIKE '%Am%' ORDER BY sex ASC;
总有一天你的谜底会解开
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
mybatis/mybatis plus 设置全局参数/全局变量/全局属性/手动设置全局参数
mashangzhifu的博客
02-09 9781
一、问题描述 有时候在使用mybatis/mybatis plus过程,需要用到一些全局变量,方便维护,比如表名前缀,为整个项目使用统一的表前缀,将它定义为一个变量,在xml直接使用就行了,这就省去了很多事。 二、解决方法 有以下2方式可以实现: 方法一 mybatis/mybatis plus默认就支持全局变量,可通过如下方式配置: mybatis-plus配置: mybatis-plus: typeAliasesPackage: com.xxx.entity mapperLocations
MyBatis
daochutoudaima的博客
10-15 655
MyBatis 学习总结
mybatis——mapper文件详解
最新发布
2401_84412895的博客
04-19 1151
面试是跳槽涨薪最直接有效的方式,马上金九银十来了,各位做好面试造飞机,工作拧螺丝的准备了吗?掌握了这些知识点,面试时在候选人又可以夺目不少,暴击9999点。机会都是留给有准备的人,只有充足的准备,才可能让自己可以在候选人脱颖而出。《互联网大厂面试真题解析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》点击传送门即可获取!,往往是自己摸索成长或者是报班学习,但对于培训机构动则几千的学费,着实压力不小。自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!**
mybatis mapper.xmlresultMap配置带有自定义类做成员变量的类;mapper.xml引用另一个mapper.xml的内容
qq_35215728的博客
08-30 1062
mapper.xmlresultMap配置带有自定义类做成员变量的类 前情提要:每一个person对应一张会员卡(card) /*card类*/ @Data @NoArgsConstructor @AllArgsConstructor @ToString @Table(value = "card") @Alias("Card") public class Card { private Integer id; private String cardNo; private Str
mybatis的mapper动态代理、解决属性名和字段名不一致
m0_45226909的博客
12-27 1066
mybatis的mapper动态代理:   1、在mybatis.xml的mappers标签配置mapper.xml包的路径 注意是mappers标签下的package标签才配置mapper.xml包的路径   (1.1)如果是mappers标签下的mapper标签则配置mapper.xml的路径   2、在mapper.xml的mapper标签的namespace属性配置mapper包下的dao文件名不加文件类型   (2.1)对应1.1 如果是mapper标签的namespace属性配置dao包下的
Mybatis简单入门
萌萌的PP博客
10-10 178
一. Mybatis 简述 MyBatis 本是 apache 的一个开源项目 iBatis, 2010 年这个项目由apache software foundation 迁移到了 google code, 并且改名为 MyBatis 。2013 年 11 月迁移到 Github。iBATIS 一词来源于“internet” 和“abatis” 的组合, 是一个基于 Java的持久层框架。 i...
mybatis相关面试问题.docx
02-11
以下是对MyBatis相关面试问题的详细解释: 1. **#{}和${}的区别** - `#{}`是预编译处理,主要用于PreparedStatement,它将SQL的`#{}`替换为`?`,然后通过PreparedStatement的set方法设置参数,这样可以防止SQL...
java面试宝典(详细
01-25
集合框架是Java开发频繁使用的工具,面试时往往需要深入理解ArrayList、LinkedList、HashMap等的区别和应用场景。IO流则涉及到文件操作和网络通信,而多线程是并发编程的基础,面试官通常会考察对synchronized、...
一份详细的Java面试题【大厂面试真题+Java学习指南+工作总结】
01-18
- **ORM框架**:Hibernate、MyBatis的使用和优化。 这份资料将帮助你全面梳理Java知识体系,理解并掌握面试的核心考点,为你的求职之路保驾护航。无论是面试准备还是日常学习,都是不可或缺的资源。通过深入学习...
一份详细的Java面试题【大厂面试真题+Java学习指南+工作总结】.zip
02-03
了解Spring的数据访问支持,如JdbcTemplate和MyBatis。 这份"详细的Java面试题"资料包含了大厂面试真题、Java学习指南和工作总结,旨在帮助求职者全面准备Java面试,提升技术能力。通过对以上知识点的深入学习...
Mybatis${}和#{}区别
web18484626332的博客
08-02 8721
动态sql是mybatis的主要特性之一,在mapper定义的参数传到xml之后,在查询之前,mybatis会对其进行动态解析。mybatis为我们提供了两种支持动态sql的语法#{}以及${}提示以下是本篇文章正文内容,下面案例可供参考。...
Mybatis#号与$符号的区别
小泽
04-05 1万+
1、#{变量名}可以进行预编译、类型匹配等操作, 2、#{变量名}会转化为jdbc的类型。 3、${变量名}不进行数据类型匹配,直接替换。 4、#方式能够很大程度防止sql注入。 5、$方式无法方式sql注入。 6、$方式一般用于传入数据库对象,例如传入表名。 7、尽量多用#方式,少用$方式。 8、#会自动加双引号,$不会加双引号 这两个符号在mybatis最直接的区别就是:#相当于对数据 加上 单引号,$相当于直接显示数据(只讨论字符串类型的)。 1、#对传入的参数视为字符串,也就..
MyBatis #{} 和 ${} 的区别
liuyuinsdu的专栏
03-12 1207
1、在MyBatis 的映射配置文件,动态传递参数有两种方式: (1)#{}占位符 (2)${}拼接符 2、#{}和${}的区别 (1) 1)#{}为参数占位符?,即sql 预编译 2)${}为字符串替换,即sql 拼接 (2) 1)#{}:动态解析 ->预编译-> 执行 2)${}:动态解析 ->编译-> 执行 (3) 1)#{}的变量替换是在DBMS 2)${}的变量替换是在DBMS外 (4) 1)变量替换后,...
Mybatis-mapper文件$#区别
迷路剑客个人博客
04-03 1457
Mybatis-mapper文件$#区别 0x01 # 1.1 原理 默认情况下,是用#{}会被预编译处理,会使得Mybatis创建PreparedStatement,当做占位符,参数化输入的参数,就和在sql内使用?一样。 mybatis在处理#{}时,会将sql#{}替换为?,调用PreparedStatement的set方法来赋值。那么,一些特殊字符就会在真正执行前被转义。 比如有...
MyBatis mapper文件的变量引用方式#{}与${}的差别
jaryle的专栏
10-23 1131
今天写代码的时候在order的sql需要用到动态的参数,于是习惯性的使用了#结果测试了半天一直报错,想了想觉得不对啊,怎么会错呢?上网一查才知道,order后面的参数不应该被转义,而#后面的参数是被要转义的,目的是防止sql注入,但是order后面一般都使用的是非转义的字符,所以在order使用动态变量时要用$,例如: select username,address,age from use
mybatis配置文件${}和#{}有什么区别
看不过的黑工坊
06-15 1万+
转自:http://zhidao.baidu.com/link?url=wFu4dsnKG-n2zx7ehfzHTrnGexmizJsXMvX39PmjN6KktYFtPAfcmXs89lR0k85SMkUXmHtfBA7DHOr9UwVQGA39AXmE0a1yDwOiGxvjos3 #{},和 ${}传参的区别如下: 使用#传入参数是,sql语句解析是会加上"",当成字符串来解析,
Mybatis自定义mapper.xml时,参数传递的方式及写法总结
热门推荐
黄亚的博客
11-27 1万+
在使用mybatis框架时,大多时候自动生成的mapper.xml文件能满足我们所需的数据库操作,但一些情况下还是需要我们自己写sql;为了加深印象,总结了下参数传递的方式以及各个关键字的含义如下: 语句接收参数的方式有两种: 1、 #{}预编译 (可防止sql注入) 2、${}非预编译(直接的sql拼接,不能防止sql注入) 参数类型有三种: 1、 基本数据类型 2、 HashMap(使用方式...
Mapper的参数类型parameterMap、parametertype、resultMap和resultType
yeshu2780的博客
02-28 9842
入参类型 一、Type类型 parameterType和resultType是直接接受Java类,并与SQL的列完成自动映射关系 1、parameterType <insert id="insert" parameterType="String"> insert into optionTemp(id) values (#{id}) </in...
MyBatis——详解映射文件#{}与${}的区别
一心同学的博客
11-29 376
详解MyBatis-映射文件#{}和${}的使用以及区别,原来两者的功能可以如此强大!
mybatis#$
05-16
MyBatis #$ 符号都用于参数占位符,但它们的使用方式略有不同。 #符号表示参数占位符,例如: ``` <select id="getUserById" resultType="User"> select * from user where id = #{id} </select> ``` 在上面的示例#id# 将被替换为传递给 SQL 查询的实际参数值。MyBatis 会自动将传递的参数值包装在一个预编译语句,可以防止 SQL 注入攻击。 $符号表示直接替换参数值,例如: ``` <select id="getUserById" resultType="User"> select * from user where id = ${id} </select> ``` 在上面的示例$id$ 将被替换为传递给 SQL 查询的实际参数值。使用 $ 符号时,传递的参数值不会被包装在预编译语句,因此可能会导致 SQL 注入攻击。 总的来说,使用 # 符号是更安全和推荐的方式,因为它可以防止 SQL 注入攻击。但有时候,如果需要动态构建 SQL 语句,$ 符号可能更方便。但是,使用 $ 符号时必须小心,避免 SQL 注入攻击。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值