MyBatis中#与$的区别深度解析

于 2024-01-28 00:05:15 发布
阅读量354 收藏 2
点赞数 8
文章标签: mybatis java spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52721608/article/details/135890664
版权
本文详细解释了MyBatis框架中#和$的作用,#用于预编译参数防止SQL注入,可能影响性能;$用于字符串拼接,需注意防止注入,适合性能优先场景。
摘要由CSDN通过智能技术生成

MyBatis是一个优秀的持久层框架,它提供了对象关系映射(ORM)和数据访问层(DAO)的功能。在使用MyBatis时,我们经常会遇到#和这两种符号。它们在SQL语句中起到了不同的作用,理解它们之间的区别对于编写安全的SQL代码至关重要。本文将深入探讨MyBatis中#与的区别,帮助读者更好地使用这一框架。

一、概述

在MyBatis中,#和$分别代表预编译参数和字符串拼接。它们在处理SQL语句中的参数时有着不同的行为。

二、#(预编译参数)

1、作用:#用于表示预编译参数,它可以防止SQL注入攻击。当使用#时,MyBatis会将参数值进行转义处理,确保参数值不会被当作SQL代码执行。

2、语法:在SQL语句中,使用#{}包围参数名称,如:SELECT * FROM users WHERE id = #{id}

3、示例:

<select id="getUser" parameterType="int" resultType="com.example.User">
    SELECT * FROM users WHERE id = #{id}
</select>

 4、特点:使用#可以确保SQL代码的安全性,但可能会影响性能。因为预编译参数需要对每个参数值进行转义处理,所以在处理大量参数时可能会导致性能下降。

三、$(字符串拼接)

1、作用:用于表示字符串拼接,它可以将参数值直接插入到���语句中。当使用用于表示字符串拼接,它可以将参数值直接插入到SQL语句中。当使用时,MyBatis不会对参数值进行转义处理,因此需要注意防止SQL注入攻击。

2、语法:在SQL语句中,使用${}包围参数名称,如:SELECT * FROM users WHERE name = ${name}

3、示例:

<select id="getUser" parameterType="string" resultType="com.example.User">
    SELECT * FROM users WHERE name = ${name}
</select>

 4、特点:使用$可以直接将参数值插入到SQL语句中,可以提高性能。但由于没有进行转义处理,需要注意防止SQL注入攻击。在使用时,应确保参数值是可信的,或对参数值进行手动转义处理。

总结

MyBatis中#与的区别主要在于预编译参数和字符串拼接的处理方式。使用#可以确保SQL代码的安全性,但可能会影响性能;使用可以提高性能,但需要注意防止SQL注入攻击。在实际开发中,应根据具体需求选择合适的符号。希望本文能够帮助读者更好地理解和使用MyBatis中的#与$。

 

 

曾几何时…
关注
  • 8
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
mybatis3.x源码深度解析与最佳实践.pdf
09-12
MyBatis 3.x 源码深度解析与最佳实践 MyBatis 是当前最流行的 Java 持久层框架之一,其通过 XML 配置的方式消除了绝大部分 JDBC 重复代码以及参数的设置,结果集的映射。为了更好地学习和理解 MyBatis 背后的设计...
MyBatis 拼接字符串的几种方式
qq_34786108的博客
04-04 1万+
MyBatis 拼接字符串的几种方式
mybatis的#{}占位符和${}拼接
Meiko记录
01-14 2629
#{}占位符:占位 使用#{}意味着使用的预编译的语句,即在使用jdbc时的preparedStatement,sql语句如果存在参数则会使用?作占位符,我们知道这种方式可以防止sql注入,并且在使用#{}时形成的sql语句,已经带有引号,例,select * from table1 where id=#{id} 在调用这个语句时我们可以通过后台看到打印出的sql为:select * from table1 where id=‘2’ 加入传的值为2.也就是说在组成sql语句的时候把参数默认为字符串。
MyBatis # 和 $ 的具体使用说明
m0_46628950的博客
07-25 1259
MyBatis # 和 $ 的具体使用说明
06-Mybatis ${} 和 #{}
记录java学习日常~
06-15 466
MyBatis ,${} 和 #{} 都可以用于在 SQL 语句引用参数,它们的作用类似于 Java 的字符串拼接预编译机制。
mybatis总结
weixin_45491031的博客
03-17 299
Mybatis全面详解 原文地址:https://blog.csdn.net/ITITII/article/details/79969447 一、什么是Mybatis 这里借用官网的一句话介绍什么是mybatisMyBatis 是一款优秀的持久层框架,它支持定制化 SQL、存储过程以及高级映射。MyBatis 避免了几乎所有的 JDBC 代码和手动设置参数以及获取结果集。MyBatis 可以使用...
mybatis 3.x源码深度解析与最佳实践.html
11-01
mybatis 3.x源码深度解析与最佳实践.html
MyBatis深度解析与实战应用.zip
最新发布
04-23
MyBatis作为一款优秀的持久层框架,以其...通过本文的解析与实战应用,相信大家对MyBatis有了更深入的了解和认识。在实际应用,我们应结合业务需求和技术特点,合理选择和使用MyBatis,以提升系统的性能和稳定性。
mybatis 3.x源码深度解析与最佳实践1.html.zip
09-05
MyBatis 3.x 源码深度解析与最佳实践》是一份深入探讨MyBatis框架核心原理和实践技巧的资源。MyBatis作为Java领域广泛应用的持久层框架,以其简洁灵活的特性深受开发者喜爱。这份资料旨在帮助开发者更好地理解和...
Mybatis3官方文教程pdf文档(超清晰 完整版)
09-16
文档是Mybatis在github上的官方文教程文档,很详细的讲解的mybatis的用法。pdf文档是文字版可复制,是我通过工具将官方的文文档转化为pdf的,如果好用的话,希望大家给个好的评论(好资源就是要分享)
Mybatis #{}和${},看了就会用
xd_b9999的博客
05-12 2253
#{}为sql预编译,编译时参数部分形成占位符?,并且#{}变量会自动加上单引号’’ ${}为sql拼接,编译时参数部分不会加上单引号’’,需要时必须自己加上单引号’’。 以下传进来的userName=123,USER=USER,name=name 用#{}如: <select id="getUserByName" resultType="com.model.User"> select * from USER where userName=#{userName}; </select
Mybatis#和$的区别
伏颜的博客
07-11 1万+
Mybatis#和$的区别
mybatis深入理解(一)之 # 与 $ 区别以及 sql 预编译
weixin_34038293的博客
03-16 222
mybatis 使用 sqlMap 进行 sql 查询时,经常需要动态传递参数,例如我们需要根据用户的姓名来筛选用户时,sql 如下: select * from user where name = "ruhua"; 上述 sql ,我们希望 name 后的参数 "ruhua" 是动态可变的,即不同的时刻根据不同的姓名来查询用户。在 ...
(九)Mybatis的#{}占位符和${}拼接符的区别
秦怀杂货店
06-26 5172
注:代码已托管在GitHub上,地址是:https://github.com/Damaer/Mybatis-Learning,项目是mybatis-05-CURD,需要自取,需要配置maven环境以及mysql环境,觉得有用可以点个小星星,小菜鸟在此Thanks~ 1.#{}占位符 1.#{}占位符可以用来设置参数,如果传进来的是基本类型,也就是(string,long,double,in...
mybatis 拼接_关于 Mybatis的 $ 和 # , 你真的知道他们的细节吗?
weixin_39580715的博客
12-09 708
前言在JDBC,主要使用的是两种语句,一种是支持参数化和预编译的PrepareStatement,能够支持原生的Sql,也支持设置占位符的方式,参数化输入的参数,防止Sql注入,一种是支持原生Sql的Statement,有Sql注入的风险。在使用Mybatis进行开发过程,隐藏了底层具体使用哪一种语句的细节,我们通过使用#和$告诉Mybatis,我们实际上进行的是怎么样的操作,需要对语句进行参...
Mybatis#和$的区别及sql预编译
Anon
05-14 1972
动态SQL是Mybatis的强大特性之一。在使用Mybatis进行开发的过程,经常需要动态传入参数。假如我们需要根据用户名称name来筛选用户,需要在映射文件这样写: select * from user where name = #{name}; 或者 select * from user where name = ${name}; 在一般情况下, #{} 与 ${} 达到的效果是一致的,...
Mybatis #和$区别以及原理
张井天的博客
06-04 4万+
总结: #可以防止Sql 注入,它会将所有传入的参数作为一个字符串来处理。 $ 则将传入的参数拼接到Sql上去执行,一般用于表名和字段名参数,$ 所对应的参数应该由服务器端提供,前端可以用参数进行选择,避免 Sql 注入的风险 为什么? 为什么 # 和 $ 的作用不同,Mybatis 对他们做了哪些惨无人道的处理,我们看一下下面的例子,并追踪一下源码总结。 示例代码: 创建一个 tb...
MyBatis #与$的区别
x
01-22 2万+
今天在工作有个点击排序的功能调试了许久,终寻因,总结之。   需求是这样的,页面有个table,有一列的上下箭头可点击并排序。对于这种需求,我的mybatis.xml的sql配置写成了如下:<if test="map.ColumnNameSort!=null and map.ColumnNameSort!=''">   ORDER BY columnName #{map.ColumnNameS
MyBatis#{}和${}的区别
热门推荐
siwuxie095's blog
01-28 8万+
------------------------siwuxie095                         MyBatis #{} 和 ${} 的区别       1、在 MyBatis 的映射配置文件,动态传递参数有两种方式:    (1)#{} 占位符    (2)${} 拼接符          2、#{} 和 ${} 的区
02-02-03-MyBatis插件原理及Spring集成1
08-04
1、猜想 2、插件编写与注册 1、编写自己的插件类 3、插件登记 3、代理和拦截是怎么实现的 4、PageHelper 原理 1、用法(EmployeeCont

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值