面试:mybatis中sql语句#和$区别

最新推荐文章于 2024-06-22 20:53:03 发布
最新推荐文章于 2024-06-22 20:53:03 发布
阅读量109 收藏
点赞数 2
分类专栏: Mybatis 文章标签: 面试 mybatis sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_56526539/article/details/138792853
版权

在MyBatis中,使用#$的方式是用来引用参数的。

  1. #{}#{}是预编译处理,MyBatis会将SQL中的#{}替换为问号?,同时将参数值设置到这个问号上。这样做可以防止SQL注入,因为参数会被MyBatis当作字符串值处理,所以它们不会被解释为SQL指令的一部分。

  2. ${}${}是字符串替换,MyBatis会直接将${}中的内容替换到SQL语句中,如果参数是一个字符串,那么它会被引号包围。这种方式可能会引起SQL注入,因此要慎用。

    <!-- 使用#{} -->
<select id="selectById" resultType="map">
  SELECT * FROM table WHERE id = #{id}
</select>
 
<!-- 使用${} -->
<select id="selectByStatus" resultType="map">
  SELECT * FROM table WHERE status = ${status}
</select>

    在第一个查询中,MyBatis会将#{id}替换为问号,并在执行时设置参数值。

    在第二个查询中,MyBatis会将${status}直接替换为字符串,如果status是变量,它会被直接用作SQL的一部分。

    如果status的值是合法的SQL语句的一部分,那么这个查询可能会被用于执行某种类型的SQL注入攻击。因此,除非绝对必要,否则应该尽量避免使用${}

胡闹54
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
面试题:mybatis# 和 $ 的区别
weixin_43950588的博客
06-23 535
面试题:mybatis# 和 $ 的区别
面试题:Mybatis $ 和 # 的区别
no problem的博客
04-18 1万+
前言: 能看到这里的各位,想必都是java程序员吧,面试的时候估计大部分的人,都会从面试官口听到这个面试问题吧? 你当时是怎么回答的呢?回答的自信吗?回答的让自己和面试官满意吗?是否知道怎么在自己的项目用#{}和${}符号呢? 如果以上问题你都回答否的话,我想看过这篇文章可以让你回答是。 问题:请说明mybatis#和$的区别? 答: 相同点: 都能取到变量的值。 不同点: #可以实现预编译,会先把#{变量}编译成?,在执行时再取值,可以防止sql注入。 $是直接进行字符串替换
java面试题(18):mybatis#和$的区别
u013938578的博客
01-05 410
默认情况下,使用#{}格式的语法会导致MyBatis创建预处理语句属性并以它为背景设置安全的值(比如?这样做很安全,很迅速也是首选做法,有时你只是想直接在SQL语句插入一个不改变的字符串。在mybatis#和$的主要区别是:#传入的参数在SQL显示为字符串,#方式能够很大程度防止sql注入;$传入的参数在SqL直接显示为传入的值,$方式无法防止Sql注入。#传入的参数在SQL显示为字符串(当成一个字符串),会对自动传入的数据加一个双引号。$传入的参数在SqL直接显示为传入的值。
经典重现丨面试题之MyBatis的#和$有什么区别?!
finally_vince的博客
07-15 591
MyBatis支持使用${}和#{}两种符号来进行动态SQL的拼接,可能有些人没有留意到,认为${}和#{}的作用是差不多的,其实这两者的功能虽然相似,但区别是比较大的!用过JDBC的小伙伴可能会知道,这就跟JDBC的PrepareStatement和Statement的区别是一样的,使用`#`就相当于使用PrepareStatement,而使用`$`就相当于使用Statement。大家知道,#在SQL语句的含义是注释,#后面的SQL内容是不执行的。...
Mybatis#和$的区别
热门推荐
伏颜的博客
07-11 1万+
Mybatis#和$的区别
面试题:Mybatis#{}和${}的区别
keep12moving的博客
10-09 58
最近在用mybatis,之前用过ibatis,总体来说差不多,不过还是遇到了不少问题,再次记录下, 比如说用#{},和 ${}传参的区别, 使用#传入参数是,sql语句解析是会加上"",比如 select * from table where name = #{name} ,传入的name为小李,那么最后打印出来的就是 select * from table where name = ‘小李...
Mybatis的#和$的区别
u011062735的博客
10-22 211
Mybatis的#和$的区别Mybatis的mapper,参数传递有2种方式,一种是#{}另一种是${},两者有很大区别; #{}实现的是sql语句的预处理参数,之后执行sql用?号代替,使用时不需要关注数据类型,Mybatis自动实现数据类型的转换。并且可以防止sql注入。 ${}实现是sql语句的直接拼接,不过数据类型转换,需要自行判断数据类型。不能防止sql注入。 有些情况必须使用${},举个例子;在分表存储的情况下,我们从那张表查询是不确定的,也就是说sql语句不能写死,表名是动态的,查询
MyBatis面试题:#{}和${}的区别是什么?
GeorgeZHAN的博客
08-20 252
#{}和${}的区别是什么?
Mybatis#{}和${}的区别是什么?
whitek387的博客
07-30 1201
原文链接,讲的很细!!!!! 动态 sqlMyBatis 的主要特性之一,在 mapper 定义的参数传到 xml 之后,在查询之前 MyBatis 会对其进行动态解析。MyBatis 为我们提供了两种支持动态 sql 的语法:#{} 以及 ${}。 面试题:#{}和KaTeX parse error: Expected 'EOF', got '#' at position 13: {}的区别是什么? 1)#̲{}是预编译处理, {}是字符串替换。 2)MyBatis在处理#{}时,会将SQL
Mybatis#{}和${}传参的区别及#和$的区别小结
09-02
首先,`#{}`是MyBatis的预编译参数占位符,它会将传入的参数值转化为PreparedStatement的参数,即在SQL语句执行前,MyBatis会将`#{}`的内容替换为`?`,然后在执行时安全地设置参数值。例如,`name = #{name}`在...
MyBatis 10道面试题和答案.docx
06-15
2. SQL语句硬编码:MyBatisSQL语句写在配置文件,易于维护和管理。 3. 参数设置和结果集处理:MyBatis自动处理参数和结果集映射,减少手动处理。 4. 事务管理:MyBatis结合Spring可以实现自动事务管理,简化事务...
MyBatis 40道面试题和答案.docx
06-15
3. **管理 SQL**:SQL 语句独立于代码,存储在 XML 文件,易于维护和管理。 4. **映射标签**:支持对象与数据库字段的映射,以及对象关系组件的维护。 **缺点:** 1. **SQL 编写工作量**:由于 SQL 语句需要手动...
面试实战】# 并发编程之线程池配置实战
暴躁的菜鸡的博客
06-19 938
IO密集型任务: 使用公式计算线程池大小。CPU密集型任务: 使用公式计算线程池大小。混合型任务: 综合IO和CPU的公式进行计算和调整。W: 平均等待时间C: 平均计算时间实际应用: 根据QPS或TPS、响应时间、期望的CPU利用率等参数进行计算,并定期监控系统负载进行调整。合理的线程池配置可以显著提升系统的处理能力和资源利用率,因此根据具体需求和系统指标进行精细配置是至关重要的。
微服务开发与实战Day11 - 微服务面试
ltt159264的博客
06-18 991
1. Spring Cloud有哪些常用组件?分别是什么作用?Nacos:一个基于云原生技术构建的的动态服务发现、配置管理和服务管理平台,可以实现服务注册与发现、动态配置、服务路由、流量管理等功能。OpenFeign:一个声明式的的HTTP客户端,可以与Spring Cloud集成,简化服务之间的调用方式,开发人员只需定义接口并加上注解,OpenFeign会自动生成实现类。
【Android面试八股文】请描述new一个对象的流程
字节卷动
06-15 229
除如何划分可用空间之外,还有另外一个需要考虑的问题是对象创建在虚拟机是非常频繁的行为,即使是仅仅修改一个指针所指向的位置,在并发情况下也并不是线程安全的,可能出现正在给对象A分配内存,指针还没来得及修改,对象B又同时使用了原来的指针来分配内存的情况。如果Java堆的内存并不是规整的,已使用的内存和空闲的内存相互交错,那就没有办法简单地进行指针碰撞了,虚拟机就必须维护一个列表,记录上哪些内存块是可用的,在分配的时候从列表找到一块足够大的空间划分给对象实例,并更新列表上的记录,这种分配方式称为一。
面试题2:从浏览器输入一个URL,到最终展示前端页面这一过程,会发生什么?
最新发布
m0_63191002的博客
06-22 96
交换机会把数据分用到数据链路层(更上层的就不用解析了),再重新封装,继续转发。路由器会把数据分用到网络层(更上层的就不用解析了),再重新封装,继续转发,路由器根据数据报的目的IP在路由表匹配,找个合适的方向发出去,每次转发,TTL就 - 1。就像 github 的域名是 www.github.com,很好记,但是他的 IP 地址是 20.205.243.166,其实我们在地址栏输入github的IP地址,也是能够访问到github网站的,但是因为IP地址不好记,所以一般地址栏里输入的都是域名。
javascript百炼成仙 第一章 掌握JavaScript基础1
2401_85123524的博客
06-18 346
小娃娃,相见是缘,既然你感兴趣我便教你一教。你且听好,在JavaScript,数据可分为两类,分别为原生数据类型和对象数据类型。所谓对象数据类型,是一种复合型的数据类型。它可以把多个数据放到一起,就好像一个篮子一样。在这个篮子里面的每一个数据,可以看做是一个单元,他们都有自己的名字和值。叶小凡被叶老的话深深地打动了,立刻聚精会神地听起来。“现在你相信了,我可还是妖怪?叶小凡嘿嘿一笑,重新把戒指戴好。“小娃娃,你叫什么?“叶小凡!“嗯,老夫姓叶你也姓叶,确实有缘。小娃娃,我且问你,你可愿意拜我为师?
java面试题:mybatis的动态sql
03-02
MyBatis是一个开源的持久层框架,它可以将SQL语句与Java代码进行分离,提供了一种简单且灵活的方式来访问数据库。MyBatis的动态SQL是其强大功能之一,它允许在运行时根据条件动态生成SQL语句。 在MyBatis,动态...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值