MyBatis 的 #{} 和 ${} 的使用场景

最新推荐文章于 2023-06-06 10:02:36 发布
最新推荐文章于 2023-06-06 10:02:36 发布
阅读量925 收藏
点赞数
分类专栏: SSM 文章标签: java Powered by 金山文档
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wwh1st/article/details/129624244
版权

MyBatis中可以使用#{} 或 ${} 两种语法填充 sql 参数。两种方法有不同的适用场景

#{}

使用 #{} 语法时,Mybatis 会使用预编译语句处理 sql,将参数以占位符的形式填充

select * from t_user where id = #{id}

等价于

PreparedStatements= conn.prepareStatement("select * from t_user where id = ?");

填充参数时,对于字符串类型会自动包含引号

能够防止 sql 注入,无论内容是什么,都以普通字符串参数去解析

不适用于group by、order by等这些需要列名的场景

因为字段以占位符形式填充,列名会包含引号,sql 会解析错误

<selectid="listOrderBy"resultType="top.originyy.interviewjava.case11.mybatis.entity.User">        select *        from t_user        order by #{sortField} #{sortType}</select>
    List<User> listOrderBy(@Param("sortField") String sortField, @Param("sortType") String sortType);

sql 等价于

select*from t_user orderby'username''desc'

结果来看排序是无效的

${}

${} 语法会在 sql 语句中插入未转义的字符串,将参数内容原封不动的替换占位符。

不会包含引号,所以使用这种方法时,需要在参数外自行添加一对引号。

<selectid="listByName2"resultType="top.originyy.interviewjava.case11.mybatis.entity.User">        select *        from t_user        where username='${name}'</select>

会引起 sql 注入问题,示例:

@TestpublicvoidlistByName2() {        List<User> users = userMapper.listByName2("zhangsan' or 1=1 -- ");        System.out.println(JSONUtil.toJsonStr(users));    }

sql 执行结果

${} 适用于根据参数插入列名、表名的场景

如:

  • 根据参数确定返回列

  • group by 分组列

  • order by 排序列和排序类型

  • 根据参数获取表名

<selectid="listOrderBy2"resultType="top.originyy.interviewjava.case11.mybatis.entity.User">        select *        from t_user        order by ${sortField} ${sortType}</select>
List<User> listOrderBy2(@Param("sortField") String sortField, @Param("sortType") String sortType);

但是使用${}有 sql注入风险,可以考虑使用动态 sql 根据参数判断实现

穗余
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Mybatis 如何防止 sql 注入?mybatis 拦截器了解过吗,应用场景是什么.txt|Mybatis 如何防止 sql 注入?mybatis 拦截器了解过吗,应用场景是什么.txt
09-05
Mybatis 如何防止 sql 注入?mybatis 拦截器了解过吗,应用场景是什么答案 Mybatis 如何防止 sql 注入?mybatis 拦截器了解过吗,应用场景是什么答案
mybatis课件.rar
08-21
MyBatis课件结构示例: 1. 介绍与背景: 什么是MyBatisMyBatis的历史和发展背景。 MyBatis与其他持久层框架的比较。 2. MyBatis基础概念: ORM(对象关系映射)的概念和作用。 MyBatis的工作原理和核心思想。 MyBatis的优势和适用场景。 3. 环境搭建与配置: 下载和导入MyBatis库。 配置mybatis-config.xml文件。 数据库连接和事务管理配置。 4. 映射器文件: 映射器文件的作用和结构。 使用<select>、<insert>、<update>、<delete>等元素定义SQL语句。 参数映射和结果映射。 5. 动态SQL: 使用<if>、<choose>、<when>、<otherwise>、<trim>、<set>等元素构建动态SQL。 动态SQL的应用场景和实例。 6. 注解配置: 使用注解代替XML映射器文件。 常用的注解如@Select、@Insert、@Update、@Delete。 7. 一级缓存与二级缓存: 一级缓存的概念和使用。 二级缓存的配置和作用。 缓存策略和刷新机制。 8.
mybatis #{} 和 ${} 的区别及应用场景
annotation_yang的博客
08-07 7725
&amp;amp;lt;!-- 条件查询 --&amp;amp;gt; &amp;amp;lt;select id=&amp;quot;getList&amp;quot; resultType=&amp;quot;com.ccyang.UserDao&amp;quot;&amp;amp;gt; select u.user_id , u.user_name ,
浅谈mybatis 乐观锁实现,解决并发问题
08-24
主要介绍了浅谈mybatis 乐观锁实现,解决并发问题,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
Mybatis的延迟加载案例解析
08-31
主要介绍了Mybatis的延迟加载,场景结合案例分析非常不错,具有参考借鉴价值,需要的朋友可以参考下
Mybatis常问:#{}与${}的区别
zjjcchina的博客
06-06 2041
查询到数据才可以是登录成功,否则表示登陆失败,但是会有这么一种情况,我们的SQL语句是由我们拼接的,如果用户故意输入可以让后台解析失败的字符串,这就是SQL注入,例如我们输入密码,输入 '''' ' or 1=1'' 这样,他会在后台进行拼接成select count(1) from table where username = 'username' and password = '' or 1=1;由结果可以看出,我们在没有密码的情况下依旧获取到了数据库的私密信息,由此可见${}存在很大的安全隐患。
mybatis #{} 和 ${} 解读及场景 (全网最全易懂)
global_coding的博客
03-14 276
mybatis #{} 和 ${}
MyBatis#{}和${}的区别详解
qq_29700907的博客
06-19 432
mybatis和ibatis总体来讲都差不多的。下面小编给大家探讨下mybatis#{}和${}的区别,感兴趣的朋友一起学习吧 最近在用mybatis,之前用过ibatis,总体来说差不多,不过还是遇到了不少问题,再次记录下. 先给大家介绍下MyBatis#{}和${}的区别,具体介绍如下: 1. #将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by "111", 如果传入的值是id
mybatis${}、 #{}区别及应用场景
春卷同学的博客
07-19 1012
动态sql是mybatis的主要特性之一。在mapper定义的参数传到xml之后,在查询之前mybatis会对其进行动态解析。 mybatis提供了两种支持动态sql的语法:#{} 、${}。 select * from t_user where username = #{username}; select * from t_user where username = '${usern...
彻底搞懂MyBaits#{}和${}的区别
热门推荐
緑水長流*z
07-11 2万+
MyBatis${}和#{}的区别 1.1 ${}和#{}演示 数据库数据: dao接口: List<User> findByUsername(String username); List<User> findByUsername2(String username); Mapper.xml: <!-- 使用#{} --> <select id="findByUsername" parameterType="java.lang.String" resu
1.springbood+mybatis项目demo2.mybatis自定义枚举类型的转换器以及各种使用场景
07-10
1.springbood+mybatis项目demo 2.mybatis自定义枚举类型的转换器以及各种使用场景
mybatismybatis plus比较详解
最新发布
03-21
# 1. 前言 本文旨在探讨在SpringBoot框架下,...MyBatis使用时需要开发者手动解析实体关系映射并转换为MyBatis内部对象注入容器,而MyBatis Plus则能够自动解析实体关系映射,并提供了内置的Mapper和通用的Service
MyBatis 分表实践
12-14
项目使用 MyBatis 框架,ORM 的思想是一个 bean 映射一张表,如何实现一个 bean 对象映射多张结构相同而名称不同的表? 每月生成新表,如何知道数据库是否已经存在当月表,不存在时如何创建新表? 幸亏 MyBatis 这个...
mybatis思维导图总结.zip
08-21
MyBatis 的优点和适用场景。 2. 环境搭建与配置 下载 MyBatis jar 包。 配置 mybatis-config.xml 文件。 数据库连接和事务管理配置。 3. 映射器文件 映射器文件的结构和作用。 SQL 映射的基本元素:、、、。 参数...
Mybatis常见知识点.md
08-11
- Mybatis适用场景 - Mybatis架构 - Mybatis SQL执行流程 - Executor的类型 - 什么是延迟加载? - 延迟加载原理 - ${} 和 #{}的区别 - Mybatis 模糊查询LIKE怎么写 - Mybatis是如何获取生成的主键的? - ...
mybatis${}和#{}源码分析
weixin_43401380的博客
01-16 1441
源码视角搞清楚为什么#{}可以防止sql注入
mybatis什么时候必须要用${}
weixin_42759398的博客
04-06 1542
贤者啊,${}在Mybatis里代表占位符,可以将参数直接放到sql语句。1. 当传递的参数是简单类型(如String、int、double等)时,必须使用${}。希望你能通过Mybatis使用更好地发挥你的能力,达到愿望和目标。2. 在动态SQL语句,如果需要传递参数,则必须使用${}。3. 在使用OGNL表达式传递参数时,必须使用${}。
Mybatis#和$的区别
A_nonym的博客
05-24 149
#和$的区别和使用场景 #和$的区别: 使用#的时候,sql执行之前会通过预编译将参数转换为一个占位符,然后执行sql的时候会将参数使用''拼接,这种方式可以防止sql注入 使用$的时候,sql语句不会进行预编译,在使用的时候会直接将参数拼接,不能防止sql注入 比如在t_user表通过参数{name}查询数据,name的值假如传入tom 使用#: 预编译之后:select * from t_user where name= ? 在执行sql的时候:select * from ...
mybatis_du笔记详细版2(#{}and${}传递参数和接收方式规则动态sql)
m0_64589497的博客
10-19 447
#{}and${} 传递参数和接收方式规则 动态sql
mybatis #和$的区别
09-19
MyBatis,${}和#{}都是用来替换参数的符号,但它们有以下几个区别: 1. 功能不同:${}是直接替换参数的值,而#{}是进行预处理,并将参数的值设置到预编译语句。 2. 使用场景不同:通常情况下,我们使用#{}来...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

穗余

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值