MyBatis #{} 和 ${} 的分别使用 和区别

最新推荐文章于 2024-04-19 05:22:31 发布
最新推荐文章于 2024-04-19 05:22:31 发布
阅读量278 收藏
点赞数 1
分类专栏: myBatis 文章标签: mybatis mysql java spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weng74/article/details/107610570
版权

MyBatis #{} 和 ${} 的分别使用 和区别

最近复习 MyBatis 对 #{} 和 ${} 进行了对比。

我直接给结论 #{} 适合 在表结构 确定的情况下使用 。

${} 适合 在表结构不确定的情况下使用。

以下是我的一下解释:

${} 是参数占位符 会在编写好sql 后 不进行预编译 直接将参数直接拼接,静态文本替换

<select  resultType="User">
   select * from user  where username=${username} 
</select>

编译完以后是直接

select * form where username='翁艳敏'

而 #{} 是变量占位符 会在编写好sql 后提前进行预编译 然后将参数? 替换成我们写好的数据

<select  resultType="User">
    select * from user  where username=#{username} 
</select>

这种情况下使用方式编译后的 sql #{}和${} 没有区别.

但我们在实际使用中刚刚的情况建议不要写 ${} 因为他使用的是直接拼接参数 容易造成sql 注入(表示没有遇见过),这么一说那么 那都使用 #{} 就完了吗,但存在即是合理, #{} 也是有存在的缺点,比如我我们的业务中sql 的结构不确定 (1,表格不确定 2,条件不确定 3,排序不确定 …) 使用#{} 就会存在问题 。

表格不确定的情况

<select  resultType="User">
	select * from #{tableName} 
</select >

编译后会加上 “ ”:

select * from "user"

这个时候#{}的提前预编译 就不行了,就会mysql 语法就会报错 但是使用 ${} 就不会,因为是直接拼接。

<select  resultType="User">
	select * from ${tableName} 
</select > 

select *from user

以上这种情况是少数,还有一种场景是我们会遇到的就是 排序不确定的情况下:

<select  resultType="User">
	select * from user  order by #{order} #{method}
</select >

就会编译失败得不到数据,但使用${} 就不会。

<select  resultType="User">
	select * from user  order by ${order}
</select >

希望可以从sql 结构不同下理解 #{ } ${}。

weng@
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Mybatis#{}和${}的用法
li_w_ch的博客
11-17 1万+
1、#{}将传入的数据当作一个字符串,会对传入的数据加上一个双引号。 比如, select * from student where student_name = #{studentName} 如果传入的值为xiaoming,那么解析成sql的值为student_name="xioming"。 2、${}将传入的数据直接显示生成在sql中。 如 : select ${fieldNmae} from student where student_age = 18 此时,传入的参数作为要查询的字
mybatis面试题#$区别.pdf
04-24
mybatis面试题#$区别.pdf
MyBatis#{} 和 ${} 的区别
liuyuinsdu的专栏
03-12 1202
1、在MyBatis 的映射配置文件中,动态传递参数有两种方式: (1)#{}占位符 (2)${}拼接符 2、#{}和${}的区别 (1) 1)#{}为参数占位符?,即sql 预编译 2)${}为字符串替换,即sql 拼接 (2) 1)#{}:动态解析 ->预编译-> 执行 2)${}:动态解析 ->编译-> 执行 (3) 1)#{}的变量替换是在DBMS中 2)${}的变量替换是在DBMS外 (4) 1)变量替换后,...
Shell中的${}、##和%%使用范例
rainharder的专栏
09-05 994
bash对变量字符串的操作,包括: 1. 删除变量字符串的一部分 2. 提取变量字符串的一段 3. 对变量值里的字符串作替换
MyBaits中#{}和${}的真正区别${}的使用场景
最新发布
2301_82242621的博客
04-19 1055
这份《“java高分面试指南”-25分类227页1000+题50w+字解析》同样可分享给有需要的朋友,感兴趣的伙伴们可挑战一下自我,在不看答案解析的情况,测试测试自己的解题水平,这样也能达到事半功倍的效果!(好东西要大家一起看才香)《互联网大厂面试真题解析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》点击传送门即可获取!%以上Java开发知识点,真正体系化!**由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!
Mybatis中的${}和#{}区别
web18484626332的博客
08-02 8718
动态sql是mybatis的主要特性之一,在mapper中定义的参数传到xml中之后,在查询之前,mybatis会对其进行动态解析。mybatis为我们提供了两种支持动态sql的语法#{}以及${}提示以下是本篇文章正文内容,下面案例可供参考。...
Mybatis_day2_Mybatis的CRUD操作
学习笔记
03-09 263
Mybatis根据动态代理实现CRUD操作 使用要求: 持久层接口(UserDao)和持久层接口的映射配置必须在相同的包下 持久层映射配置中 mapper 标签的 namespace 属性取值必须是持久层接口的全限定类名 SQL 语句的配置标签<select>,<insert>,<delete>,<update>的 id 属性必须和持久层接口的...
浅谈Mybatis #$区别以及原理
08-18
浅谈Mybatis #$区别以及原理 Mybatis是一款流行的持久层框架,它提供了两个占位符:#$,它们均用于参数化SQL语句,但是它们的作用和原理却有所不同,本文将详细介绍这两者的区别和原理。 #$区别 在...
浅谈mybatis中的#$区别
09-02
下面小编就为大家带来一篇浅谈mybatis中的#$区别。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Mybatis#{}和${}传参的区别#$区别小结
09-02
MyBatis框架中,`#{}`和`${}`是两种不同的参数占位符,它们在处理传参时有着显著的差异,同时也关联到`#`和`$`的区别。理解这些差异对于编写安全且高效的SQL查询至关重要。 首先,`#{}`是MyBatis的预编译参数占位...
Mybatis下动态sql中##$$区别讲解
08-26
Mybatis下动态sql中##$$区别讲解 Mybatis是一款流行的ORM框架,能够帮助...综上所得,在Mybatis下动态sql中##$$区别是非常重要的,correctly使用#{ }和${ }可以避免SQL注入问题,并提高应用程序的安全性。
【转载】SHELL字符串处理技巧(${}、##、%%)
kuangzhuming的博客
08-16 1434
SHELL字符串处理技巧(${}、##、%%)
彻底搞懂MyBaits中#{}和${}的区别
热门推荐
緑水長流*z
07-11 2万+
MyBatis的`#{}`之所以能够预防SQL注入是因为底层使用了`PreparedStatement`类的`setString()`方法来设置参数,此方法会获取传递进来的参数的每个字符,然后进行循环对比,如果发现有敏感字符(如:单引号、双引号等),则会在前面加上一个`'/'`代表转义此符号,让其变为一个普通的字符串,不参与SQL语句的生成,达到防止SQL注入的效果。 **其次`${}`本身设计的初衷就是为了参与SQL语句的语法生成**,自然而然会导致SQL注入的问题(不会考虑字符过滤问题)。
mybatis#{}和${}有什么区别
m0_65775028的博客
02-21 104
#{}是预编译处理,$ {}是字符串替换。 mybatis在处理#{}时,会将sql中的#{}替换为?号,调用PreparedStatement的set方法来赋值,预编译的机制是提前对SQL语句进行预编译,而其后注入的参数将不会再进行SQL编译使用#{}可以有效的防止SQL注入,提高系统的安全性; ${}符号一般用来当作占位符,mybatis在处理$ {}时,就是把${}替换成变量的值;
${}和#{}的区别
plqwf19880902的博客
04-26 9254
1)#{}是预编译处理,$ {}是字符串替换。 2)mybatis在处理两个字符时,处理的方式也是不同的: ①、处理#{}时,会将sql中的#{}整体替换为占位符(即:?),调用PreparedStatement的set方法来赋值; ②、在处理 $ { } 时,就是把 ${ } 替换成变量的值。 3)假如用${}来编写SQL会出现:恶意SQL注入,对于数据库的数据安全性就没办法保证了。以下是示例: 恶意SQL语法注入实例: String sql="select * from user wher
Mybatis#{} 和 ${} 该如何选用?
u013208623的博客
12-25 773
使用Mybatis时,应该尽量使用#{}占位符,这样可以防止SQL注入攻击,提升程序的安全性。如果确实需要使用${}占位符,应该先对参数值进行转义,再将转义后的参数值传入。
简单理解参数引用 ${}和 #{}
Foo
08-01 707
参数的引用有两种常见的方式:${} 和 #{},但是${}存在SQL注入的安全问题。 SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编写时的疏忽,通过SQL语句,实现无账号登录,甚至篡改数据库。 来看一个例子: 在mybatis中,如果使用 ${} 来进行参数引用: <select id="selectUserInfo" parameterType = "java.util.Map" resultMap ="BaseResultMap"> sele
【8015】解决mybatis中用${}替换#{}配参报错java.sql.SQLSyntaxErrorException: Unknown column ‘XXX‘ in ‘where clause
Caojian_0的博客
09-27 1990
【8015】解决mybatis中用${}替换#{}配参报错java.sql.SQLSyntaxErrorException: Unknown column ‘XXX‘ in ‘where clause
java面试题 Mybatis#$区别
樂小伍
10-16 1161
Mybatis#$区别 https://www.cnblogs.com/wslook/p/9185448.html #{}:占位符号,可以防止sql注入(替换结果会增加单引号‘’),相当于 ? 占位符 ${}:sql拼接符号(替换结果不会增加单引号‘’,like和order by后使用,存在sql注入问题,需手动代码中过滤) 能使用 #{ } 的地方就用 #{ } 首先这是为了性能考虑...
mybatis #$区别
09-19
MyBatis中,${}和#{}都是用来替换参数的符号,但它们有以下几个区别: 1. 功能不同:${}是直接替换参数的值,而#{}是进行预处理,并将参数的值设置到预编译语句中。 2. 使用场景不同:通常情况下,我们使用#{}来...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值