MyBatis中 #{} 和 ${}专题

最新推荐文章于 2024-09-10 10:21:38 发布
最新推荐文章于 2024-09-10 10:21:38 发布
阅读量30 收藏
点赞数
分类专栏: Mybatis 文章标签: mybatis java 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_62827806/article/details/133842654
版权

取值引用

#{} 方式

#{}: 解析为SQL时,会将形参变量的值取出,并自动给其添加引号。 例如:当实参username="Amy"时,传入下Mapper映射文件后

......
    <select id="findByName" parameterType="String" resultMap="studentResultMap">
        SELECT * FROM user WHERE username=#{value}
    </select>
    ....

SQL将解析为:

SELECT * FROM user WHERE username="Amy"

${} 方式

${}: 解析为SQL时,将形参变量的值直接取出,直接拼接显示在SQL中

例如:当实参username="Amy"时,传入下Mapper映射文件后

......
    <select id="findByName" parameterType="String" resultMap="studentResultMap">
        SELECT * FROM user WHERE username=${value}
    </select>
    ....
SELECT * FROM user WHERE username=Amy

显而该SQL无法正常执行,故需要在mppaer映射文件中的${value}前后手动添加引号,如下所示:

......
    <select id="findByName" parameterType="String" resultMap="studentResultMap">
        SELECT * FROM user WHERE username='${value}'
    </select>
    ....

SQL 注入

${}方式是将形参和SQL语句直接拼接形成完整的SQL命令后,再进行编译,所以可以通过精心设计的形参变量的值,来改变原SQL语句的使用意图从而产生安全隐患,即为SQL注入攻击。现举例说明:

现有Mapper映射文件如下:

......
    <select id="findByName" parameterType="String" resultMap="studentResultMap">
        SELECT * FROM user WHERE username='${value}'
    </select>
    ....

当 username = "' OR 1=1 OR '" 传入后,${}将变量内容直接和SQL语句进行拼接,结果如下:

SELECT * FROM user WHERE username='' OR 1=1 OR '';

显而易见,上述语句将把整个数据库内容直接暴露出来了

#{}方式则是先用占位符代替参数将SQL语句先进行预编译,然后再将参数中的内容替换进来。由于SQL语句已经被预编译过,其SQL意图将无法通过非法的参数内容实现更改,其参数中的内容,无法变为SQL命令的一部分。故,#{}可以防止SQL注入而${}却不行

适用场景

#{} 和 ${} 均适用场景

由于SQL注入的原因,${}和#{}在都可以使用的场景下,很明显推荐使用#{}。这里除了上文的WHERE语句例子,再介绍一个LIKE模糊查询的场景(username = "Amy"):

<select id="findAddByName" parameterType="String" resultMap="studentResultMap">
        SELECT * FROM user WHERE username LIKE '%${value}%'
    </select>
SELECT * FROM user WHERE username LIKE '%Amy%';

上述通过${}虽然可以实现对包含"Amy"对模糊查询,但是不安全,可以改用#{},如下所示:

<select id="findAddByName" parameterType="String" resultMap="studentResultMap">
        SELECT * FROM USER WHERE username LIKE CONCAT('%', #{username}, '%')
    </select>
SELECT * FROM USER WHERE username LIKE CONCAT('%', 'Amy','%');

只能使用${}的场景

由于#{}会给参数内容自动加上引号,会在有些需要表示字段名、表名的场景下,SQL将无法正常执行。现举一例说明:

期望查询结果按sex字段升序排列,参数String orderCol = "sex",mapper映射文件使用#{}:

<select id="findAddByName3" parameterType="String" resultMap="studentResultMap">
        SELECT * FROM USER WHERE username LIKE '%Am%' ORDER BY #{value} ASC
    </select>

则SQL解析及执行结果如下所示,很明显 ORDER 子句的字段名错误的被加上了引号,致使查询结果没有按期排序输出

SELECT * FROM USER WHERE username LIKE '%Am%' ORDER BY 'sex' ASC;

这时,现改为${}测试效果:

<select id="findAddByName3" parameterType="String" resultMap="studentResultMap">
        SELECT * FROM USER WHERE username LIKE '%Am%' ORDER BY ${value} ASC
    </select>

则SQL解析及执行结果如下所示:

SELECT * FROM USER WHERE username LIKE '%Am%' ORDER BY sex ASC;

Nathaniel333
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Mybatis的#{}与${}
Xin6Yang的博客
05-11 251
Mybatis的#{}与${} MyBatis映射配置文件,动态传递参数两种方式: #{}:占位符 ${}:拼接符 区别 #{}为参数占位符?,即sql预编译;${}为字符串替换,即sql拼接。 #{}:动态解析->预编译->执行;${}:动态解析->编译->执行。 #{}的变量替换是在DBMS;${}的变量替换是在DBMS外。 变量替换后,#{}对应的变量自动加上单引号’’;变量替换后,${}对应的变量不会加上单引号’’。 #{}能防止sql注入;${}不能防止sq
MyBatis的${}和#{}
小景的博客
06-28 599
${}、#{}的使用举例: 后端Controller @RequestMapping(value = "/getStatisticsData", method = RequestMethod.GET, produces = "application/json;charset=utf8") public List<SearchResult> getStatisticsData(Long startTime, Long endTime, String argu) { Lis...
后端面试每日一题 mybatis#与$的区别(1),牛客java面试宝典在哪
2401_84023314的博客
04-10 856
笔者已经把面试题和答案整理成了面试专题文档一个人可以走的很快,但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎扫码加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!一个人可以走的很快,但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎扫码加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
MyBatis参数处理和查询语句专题
????
02-23 1316
本文详细的讲解了MyBatis参数处理和查询语句相关的知识,是MyBatis的重之重。
MyBatis-参数专题和查询专题
萌新
04-05 506
文章讲解了所有参数情况同时还讲解了查询时候的所有情况
面试专题-MyBatis专题部分
02-22
MyBatis作为一款广泛应用的Java持久层框架,深受开发者喜爱,尤其在求职面试,对MyBatis的理解和掌握程度往往是考察候选人技能的重要一环。本面试专题将深入探讨MyBatis的核心概念、功能特性以及常见问题,帮助...
Java mybatis面试题及答案
m0_60721514的博客
08-08 569
* ●Spring AOP什么是通知,包括哪些?**
Java后端资料,MyBatis面试专题
10-12
Java后端开发者在面试MyBatis是一个重要的考察点,因为它是一个强大的持久层框架,提供了灵活的SQL映射和自定义SQL操作。下面将详细解释MyBatis的相关知识点。 1. **MyBatis简介**:MyBatis是一个基于Java的...
MyBatis面试专题及答案.pdf
07-25
MyBatis的缓存机制分为一级缓存和二级缓存。一级缓存存储在SqlSession对象,每当创建一个SqlSession时,MyBatis会为该会话创建一个一级缓存区,用于存储当前会话执行的所有查询结果,并且在会话结束时自动清空。...
MyBatis面试专题.pdf
01-04
MyBatis的分页可以通过RowBounds对象实现,或者直接在SQL语句添加LIMIT和OFFSET子句。此外,还可以使用分页插件,该插件通过拦截SQL,动态插入分页信息,如LIMIT和OFFSET,从而实现分页效果。 编写MyBatis插件的...
MybatisPlus的LambdaQueryWrapper用法
2301_79693537的博客
08-21 4834
【代码】MybatisPlus的LambdaQueryWrapper用法。
spring事务详细讲解-深入浅出
小电玩
09-08 417
Spring 事务是本身就是对数据库的事务的支持,没有数据库的事务 Spring 是本身无法实现事务的。Spring只提供了统一事务管理接口,具体的实现还是由各数据库自己实现。在使用 Spring 事务时,可以通过注解或编程方式将需要进行事务管理的方法和代码块标记为事务性操作,当这些操作被执行时,Spring 会负责开启时根据当前环境设置的隔离级别,调整数据库隔离级别。
Java多线程:深入探索与详细解析
m0_63550220的博客
09-08 1424
作为Java的基本执行单元,线程是轻量级的进程,由线程ID、程序计数器、Java虚拟机栈、本地方法栈、和线程私有内存等部分组成。每个线程都有独立的执行路径,但共享进程的资源(如内存)。:进程是系统资源分配的基本单位,它包含了一个或多个线程以及这些线程运行所需的资源。在Java,JVM(Java虚拟机)就是一个进程,而运行在JVM上的多个线程则共享JVM的内存空间。:并发指的是多个任务在同一时间段内交替执行,而并行则指的是多个任务在同一时刻真正同时执行。
JAVA基础:数据类型、命名规范
weixin_53755148的博客
09-05 1349
变量类型就是用来指定变量存储数据的类型。也称为数据类型。
Java集合:Stack详解
最新发布
yang_brother的博客
09-10 352
Java 的Stack类是一个后进先出(LIFO, Last In First Out)的数据结构,它继承自Vector类。尽管Stack是一个可用的类,但它被认为是遗留的,并且在新代码不推荐使用。通常建议使用Deque或ArrayDeque作为替代。
币安/OK现货合约量化系统APP开发
I592O929783的博客
09-08 491
后端:考虑系统需要处理大量实时数据和高频交易的特点,选择高性能的编程语言和技术框架,如Python的Django或Flask框架,Java的Spring Boot等。用户交互界面:设计直观易用的用户交互界面,包括交易界面、策略配置界面、风险管理界面等,方便用户进行交易操作、策略配置和风险管理。市场数据接入:开发市场数据接入模块,从币安等交易所或数据服务商获取实时的市场数据,包括行情数据、订单簿数据、成交数据等。前端:选择适合开发复杂界面的前端框架,如React、Vue.js等,以提供用户友好的交互界面。
自定义Stater
m0_63624484的博客
09-07 694
我们平时在导入依赖的时候,大部分导入的都是xxx-spring-boot-stater。那是因为它们都基于spring的规则将写好的框架定义成一个stater,这样方便springboot引用它们写好的功能。那我们为什么也要自定义stater呢?
基于JavaWeb开发JavaSpringboot+Vue实现前后端分离房屋租赁系统
央顺科技官方博客
09-05 557
2021年处于信息科技高速发展的大背景之下。在今天,缺少手机和电脑几乎已经成为不可能的事情,人们生活已经难以离开手机和电脑。针对增加的成本管理和操作,各大商家非常有必要建立自己的网上房屋租赁平台系统,这既可以让更多的人体验到网络所带来的方便,也有助于提高房屋的租赁。在经过几十年的高速发展后,互联网已成为最流行、最普及的媒体,每天的信息流量甚至能比得上过去十年。其以便捷的信息交换、快速的沟通速度,悄然地改变着会员的消费方式。
MyBatis面试
Tony_yitao的博客
09-09 553
MyBatis面试
MyBatis面试精华:定制SQL、缓存与插件深度解析
MyBatis面试专题深入解析 1. **MyBatis简介** MyBatis是一个强大的Java持久层框架,它允许开发者自定义SQL语句、存储过程,并提供高级映射机制,以简化数据库操作,提高开发效率。它主要用于处理与关系型数据库的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Nathaniel333

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值