MyBatis 中${}和#{}的区别

最新推荐文章于 2024-08-09 10:31:32 发布
最新推荐文章于 2024-08-09 10:31:32 发布
阅读量64 收藏
点赞数
分类专栏: SSM整合 Mybatis 文章标签: sql mybatis
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/x2306402025/article/details/128920734
版权

${}和#{}都是MyBatis获取参数的方式

${}:本质就是字符串拼接。使用字符串拼接的方式拼接sql,若参数类型是字符串或者日期类型还需要手动加上单引号

#{}:本质就是占位符。使用占位符的形式拼接sql,此时要是参数类型是字符串类型或者是日期类型,会自动加上单引号,不需要自己手动添加单引号

补充: 

        使用#{}可以有效的防止SQL注入,提高系统安全性。原因在于:预编译机制。预编译完成之后,SQL的结构已经固定,即便用户输入非法参数,也不会对SQL的结构产生影响,从而避免了潜在的安全风险。

        预编译是提前对SQL语句进行预编译,而其后注入的参数将不会再进行SQL编译。我们知道,SQL注入是发生在编译的过程中,因为恶意注入了某些特殊字符,最后被编译成了恶意的执行操作。而预编译机制则可以很好的防止SQL注入。

问题:既然${}会引起sql注入,为什么有了#{}还需要有${}呢?那其存在的意义是什么

可以这么去理解:#{}主要用于预编译,而预编译的场景其实非常受限,而${}用于替换,很多场景会出现替换,而这种场景可不是预编译

x2306402025
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Java Mybatis的 ${ } 和 #{ }的区别使用详解
08-18
Java Mybatis的 ${ } 和 #{ } 的区别使用详解 Java Mybatis 的 ${ } 和 #{ } 是两个不同的占位符,都是用于在 Mybatis 进行动态 SQL 语句的构建和参数传递。然而,这两个占位符在使用时有着极其重要的区别。 ...
MyBatis使用$和#所遇到的问题及解决办法
09-01
MyBatis,$和#的使用是动态SQL的关键部分,它们决定了参数如何被处理和插入到SQL语句。下面将详细解释这两种符号的差异以及如何解决使用过程遇到的问题。 1. #{}与${}的区别: - #{ }:这是MyBatis的预...
mybatis$和#的区别以及各自的使用场景
2301_77760093的博客
03-14 1474
MyBatis ,$ 和 # 都是用于参数绑定的,但它们之间存在明显的差异,主要体现在参数的预处理方式和安全性上。
mybatis$和#号的区别
cainiaobulan的博客
06-05 2384
这两个符号在mybatis最直接的区别就是:#相当于对数据 加上 单引号,$相当于直接显示数据(只讨论字符串类型的)。 1、#对传入的参数视为字符串,也就是它会预编译,select * from user where name = #{name},比如我传一个aaa,那么传过来就是 select * from user where name = 'aaa'; 2、$将不会将传入的值进...
Mybatis$和#的区别
程序猿老白~的博客
04-16 164
MyBatis处理 #{ } 占位符,使用的 JDBC 对象是PreparedStatement 对象,执行sql语句的效率更高。
mybatis$和#注入的区别
qq_40312909的博客
08-18 259
#会进行预编译以?的形式拼接在sql: $会直接拼接在sql如下: SELECT * FROM xtech_brother_graph_log WHERE action_biz_code = 'teachers_day' and del_flag = "n" and action_type = ? group by target_work_no order by gmt_create desc
Mybatis $与#的区别
大鹏
08-10 1013
1 #是将传入的值当做字符串的形式, eg:select id,name,age from student where id =#{id},当前端把id值1,传入到后台的时候,就相当于 select id,name,age from student where id ='1'. 2 $是将传入的数据直接显示生成sql语句 eg:select id,name,age from student where id =${id},当前端把id值1,传入到后台的时候,就相当于 select id,nam.
mybatis$和#的区别
只为成功找方法 不为失败找借口
11-29 379
MyBatis #{} 和 ${} 的区别 1、在MyBatis 的映射配置文件,动态传递参数有两种方式: (1)#{}占位符 (2)${}拼接符 2、#{}和${}的区别 (1) 1)#{}为参数占位符?,即sql 预编译 2)${}为字符串替换,即sql 拼接 (2) 1)#{}:动态解析 ->预编译-> 执行 2)${}:动态解析 ->编译-> 执行 (3) 1)#{}的变量替换是在DBMS 2)${}的变量替换...
mybatis的$和#详解分析
易的博客
04-08 639
MyBatis#{}和${}的作用与区别_陈三千的博客-CSDN博客_mybatis${}有什么用 MyBatis#{}和${}的作用与区别 MyBatis#{}和${}的作用与区别_陈三千的博客-CSDN博客_mybatis${}有什么用 在mybatis#和$的主要区别是:#传入的参数在SQL显示为字符串,#方式能够很大程度防止SQL注入;$传入的参数在SQL直接显示为传入的值,$方式无法防止SQL注入。 1、传入的参数在SQL显示不同 #{} 将传入的参数(数据).
Mybatis $ 和 #千万不要乱用
嘻哈熊的专栏
08-02 808
2、${}: 主要用于获取配置文件数据, DAO 接口的参数信息, 当 $ 出现在映射文件的 SQL 语句时创建的不是预编译的 SQL, 而是字符串的拼接, 有可能会导致 SQL 注入问题. 所以一般使用 $ 接收 dao 参数时, 这些参数一般是字段名, 表名等, 例如 order by {column}。看了上面的区别介绍,相信大家其实都应该知道区别在哪里,我们的问题在哪里,其实就是 sql 在 in 的时候 ,里面的数据被加了两个双引号。所以导致部分数据查不到了。输出后,终于发现了问题在哪里。..
Mybatis#和$的区别
热门推荐
伏颜的博客
07-11 1万+
Mybatis#和$的区别
Mybatis $和#
m0_67401228的博客
04-21 209
Mybatis $和#千万不要乱用! 开头 这是一次代码优化过程发现的问题,在功能优化后发现部分数据查不到出来了,问题就在于一条sql上的#和$。 下图为两条sql: 从图上可以看出 wwlr.LabelId in(KaTeX parse error: Expected 'EOF', got '#' at position 33: …wlr.LabelId in(#̲{showLabels}),其…处理的方式是不一样的。 区别 1、#{ }是预编译处理,MyBatis在处理#{ }时,它会将sql
浅谈mybatis的#和$的区别
09-02
MyBatis,`#`和`$`是用来动态构造SQL语句的占位符,它们的区别主要在于SQL预编译和防止SQL注入的能力。理解这两种符号的用法对于编写安全、高效的MyBatis映射文件至关重要。 1. `#`占位符: - `#`将传入的数据...
Mybatis#{}和${}传参的区别及#和$的区别小结
09-02
MyBatis框架,`#{}`和`${}`是两种不同的参数占位符,它们在处理传参时有着显著的差异,同时也关联到`#`和`$`的区别。理解这些差异对于编写安全且高效的SQL查询至关重要。 首先,`#{}`是MyBatis的预编译参数占位...
浅谈Mybatis #和$区别以及原理
08-18
浅谈Mybatis #和$区别以及原理 Mybatis是一款流行的持久层框架,它提供了两个占位符:#和$,它们均用于参数化SQL语句,但是它们的作用和原理却有所不同,本文将详细介绍这两者的区别和原理。 #和$的区别 在...
SQL回顾
Wincreds的博客
08-05 455
②Cookie 是一种客户端的存储技术,用于在浏览器存储少量数据。参数包含在请求体,可以是键值对格式或其他格式,如 JSON。①Session 是一种服务器端的存储技术,用于在用户与网站的交互期间保持用户状态。会话数据通常存储在服务器上的文件或数据库,可以永久存储用户信息,直到会话过期或被清除。会看到结果,正确密码,与其他的长度不一样,由于网站机制,防爬机制,这里我把密码从666改为了8,节约访问次数。旧密码无所谓,利用 admin’# ,进行修改,修改密码实际上修改的是admin的密码。
SQL Server 事务
a876106354的博客
08-09 433
SQL Server 事务是数据库操作的一个基本特性,它允许你将一系列数据库操作组合成一个原子单元,这个单元的所有操作要么全部成功,要么全部失败。事务具有以下四个重要的属性,通常被称为ACID属性。
SQL Zoo 8+.NSS Tutorial
最新发布
weixin_61524392的博客
08-09 631
以下数据来自。
MyBatis 如何通过拦截器修改 SQL
Hello World
08-03 527
假如我们想实现多租户,或者在某些 SQL 后面自动拼接查询条件。在开发过程大部分场景可能都是一个查询写一个 SQL 去处理,我们如果想修改最终 SQL 可以通过修改各个 mapper.xml SQL 来处理。但实际过程我们可能穿插着 ORM 和 SQL 的混合使用,隐藏在代码不容易被发现,还有假如项目有很多很多的 SQL 我们不可能一个一个的去修改解决。这个时候我们就需要通过 mybatis 拦截 SQL 并且最终修改 SQL。实现Interceptor接口,并写相关逻辑。
Mybatis$与#的区别, $的应用场景
04-23
#的区别是什么? Mybatis$和#都用于动态SQL语句的参数绑定,但它们之间有几个区别: 1. #用于预编译,$用于值传递。#会将参数放入预编译语句的占位符,可以避免SQL注入,但会使SQL语句无法重用;$将参数直接拼接进SQL,可以重用SQL语句,但有SQL注入的风险。 2. #可以自动进行类型转换,$不能自动转换。#会根据目标类型自动转换参数类型,$需要手动进行类型转换。 3. #可以在SQL使用占位符,$不能使用。#可以在SQL语句使用占位符进行模糊查询等操作,$只能直接拼接参数值。 因此,在使用Mybatis时,应根据具体的业务场景和需求选择使用#或$。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值