Mybatis中的#{}和${}格式的占位符

最新推荐文章于 2023-04-27 17:05:13 发布
最新推荐文章于 2023-04-27 17:05:13 发布
阅读量532 收藏
点赞数 1
文章标签: mybatis sql mysql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xi_nian_yan/article/details/127376094
版权

在使用Mybatis时,在SQL语句中的参数,可以使用#{}${}格式的占位符。

当配置的SQL语句如下时:

SELECT
    <include refid="StandardQueryFields" />
FROM
    ams_admin
WHERE
    id=#{id}

以上SQL语句中的参数,无论使用#{}还是${},执行效果完全相同。

当配置的SQL语句如下时:

SELECT
    <include refid="LoginQueryFields"/>
FROM
    ams_admin
WHERE
    username=#{username}

以上SQL语句中的参数,使用#{}格式的占位符时可以正常执行,使用${}格式的占位符将执行出错,错误信息例如:

java.sql.SQLSyntaxErrorException: Unknown column 'fanchuanqi' in 'where clause'
; bad SQL grammar []; nested exception is java.sql.SQLSyntaxErrorException: Unknown column 'fanchuanqi' in 'where clause'

其实,在SQL语句中,除了关键字、数值、特定位置的字符或字符串以外,只要没有使用特殊符号框住,SQL语句中的其它内容都会被视为“字段名”,例如:

SELECT
    id, username, password, enable
FROM
    `ams_admin`
WHERE
    username=fanchuanqi

提示:使用一对单撇符号框住的就是自定义名称

提示:使用一对单引号框住的都是字符串

在使用Mybatis时,如果SQL语句中的参数使用#{}格式的占位符,会进行预编译的处理,如果使用的是${}格式的占位符,则不会预编译。

提示:计算机能够直接识别并执行的只有机器语言,即二进制语言,所有其它编程语言编写的源代码都需要经过编译、解释,转换成机制语言才可以被识别并执行。在执行编译之前,通常都还有词法分析、语义分析等过程。由于语义分析是在编译之前执行的,所以,一旦执行到了编译,则SQL语句的“意思”不会再发生变化!

以下为SQL语句为例:

SELECT
    <include refid="LoginQueryFields"/>
FROM
    ams_admin
WHERE
    username=#{username}

由于使用的是#{}格式的占位符,则#{username}会被识别成参数,经过预编译(先编译,再传值,再执行)处理后,无论在此处传入什么值,都会被认为是参数,语义不会发生变化!

如果使用的是${}格式的占位符,则会先将参数值代入到SQL语句中,然后再执行编译!

所以,使用#{}格式的占位符,不必关心参数值的数据类型问题,并且,没有SQL注入的风险,因为在编译之前就已经确定了此SQL语句的语义,无论传的值是什么样的,语义都不会改变!但是,这种格式的占位符只能表示某个值,不能表示SQL语句中的其它部分!

使用${}格式的占位符,需要关心参数值的数据类型问题,如果参数的值是字符串类型的,必须在值的两侧添加单引号,这种做法存在SQL注入的风险,因为传入的参数值可能会改变语义!需要注意,这种格式的占位符可以表示SQL语句中的任何片段!

另外,对于SQL注入,应该有正确的认识,不需要盲目拒绝!

SELECT * FROM user WHERE username='?' AND password='?'

username: root
password: secret

SELECT * FROM user WHERE username='root' AND password='secret'

username: root
password: a' OR 'a'='a

SELECT * FROM user WHERE username='root' AND password='a' OR 'x'='x' OR 'a'='a'

昔-年-彦
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
Mybatis
tianzhenhahaha的博客
08-11 1865
Mybatis快速入门
Mybatis模糊搜索参数有英文单引号解决方案
是我的温柔啊
05-23 1206
当模糊查询自动触发时,用户如果使用打字法输入汉字还没输入完,默认发送到后台的参数是以拼音加单引号的形式,这时mybatis模糊查询会报错。 环境:mybatis、oracle 原语句: <select id="findPhotoInfoList" resultType="cn.it.ssm.domain.auto.PhotoInfo"> SELECT id, ...
JSD-2204-关于Spring Security和BCrypt-Day11
TheNewSystrm的博客
08-05 336
JSD-2204-关于Spring Security和BCrypt-Day11
MyBatis获取参数值的两种方式
weixin_44260350的博客
09-27 477
MyBatis获取参数值的几种方式
Mybatis#{}和${}取值符号
哈哈
10-07 2326
如图,两个方法的参数类型为简单类型,简单类型包括8大基本类型和String1. #{}取值符号会自动为String类型的参数加上‘’单引号2. ${}取值符号不会自动加上‘’单引号当sql标签的查询代码是 select * from t_user where username = ‘lyx’;这种情况,需要使用自动加上单引号的#{}:select * from t_user where username = #{username}调用。
Mybatis日志参数快速替换占位符工具的详细步骤
08-18
主要介绍了Mybatis日志参数快速替换占位符工具的详细步骤,本文给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
Spring及Mybatis整合占位符解析失败问题解决
08-18
主要介绍了Spring及Mybatis整合占位符解析失败问题解决,文通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
mybatis 日志 sql参数替换工具
05-30
非常好用的,就是你们所要的 Mybatis日志参数快速替换占位符 sql参数替换工具html
mybatis-generic-crud:说明使用 GenericCrudMapper 和 GenericCrudService 的示例 MyBatis 模块
05-31
mybatis-generic-crud MyBatis 模块说明使用 ... 缺点(次要)是,是的,您仍然需要创建占位符映射器接口,并且仍然需要创建映射器 xml 文件和其的相应 CRUD sql。 好处是,如果遵循将映射器方法命名为与Gen
动态sql解析引擎,类似mybatis动态sql的功能
最新发布
04-28
orange是一个动态sql引擎,类似mybatis的功能,解析带标签的动态sql,生成?占位符的sql和?对应的参数列表。 借鉴了mybatis源码,相当于mybatis的动态sql解析功能的抽取。 支持 if foreach where set trim
Mybatis】-mybatis传递参数时,会加上单引号
在这个充满危险的乱世之中,只有学会烤鸡才能顽强的活下去。
12-04 4768
一、项目描述 今天对项目进行改BUG的时候,遇到了一个查找数据的时候,总是不对,于是自己就开始DEBUG,但是发现传入的参数也都没有问题啊,所以想到不是代码的问题,那就是sql的问题。 于是我就跟着断点一步一步的走,发现sql语句好像也没有错,自己就查了查相关的知识。 二、解决方案 将#改成$符号 三、相关知识 (1)使用#{参数}传入会加上单引号,sql语句解析是会加上'', select * from table where name = #{name} 比如...
MyBatis 的 `<if test=““>` 语句里面使用反单引号的问题
qq_40286307的博客
09-28 951
如下是 MyBatis 的映射文件。 <?xmlversion="1.0"encoding="UTF-8"?> <!DOCTYPEmapperPUBLIC"-//mybatis.org//DTDMapper3.0//EN""http://mybatis.org/dtd/mybatis-3-mapper.dtd"> <mappernamespace="com.renda.dao.CourseMapper"> <!-- ...
MYBATIS框架学习之MAPPER.XML 文件的输入参数详解
Jason的博客
08-02 1005
1.简介 在前面的章节,我们看到,在 mapper.xml 文件,都使用 #{value} 或者 #{属性值} 的方式来显示输入参数,其实 mybatis 还支持另一种写法。 ${value} 或者 ${属性值},本章着重讲解下 ${} 的使用方法; 2. #$ 二者异同 2.1 不同点如下 #{} 这种方式会自动给 {} 里面的值附上 ’ '(单引号);KaTeX parse error: Expected 'EOF', got '#' at position 16: {} 这种方式只是会原样
Mybatis <include refid=“XXX“></include>标签
19.2.04.157N的博客
04-27 352
mybatis <include refid=“XXX“></include>标签
MyBatis--------占位符${}与#{}
大宇的博客,欢迎访问
04-06 562
一、基本区别 简单的说就是#{}传过来的参数带单引号'',而${}传过来的参数不带单引号。 涉及到这个问题,最初是在毕业设计项目,进行动态排序发现的问题。看下面的SQL语句 <select id="getArticleByCondition" resultType="com.ssi.domains.article.entity.Article"&gt...
mybatis String参数在sql语句带单引号问题
cmomo99d的博客
01-22 3058
如果需要用排序order by,不应该用#{},而是用${} 使用#{}传入是会加单引号 selsect * from ABC where xingbie = #{xingbie} 假设xingbie 为男 上述的语句相当于 selsect * from ABC where xingbie = '男' 使用${}传入就不会
sql与include标签<include refid=“baseColumnList“/>
努力努力,努力努力的博客
09-21 2269
sql与include标签
Mybaits 传入参数时带引号(#{parameter})与不带引号(${parameter})的两种写法
piscesL6的博客
05-13 4222
MyBatis 传入参数时的两种方式: 方式一: 接收的参数会包含引号,mybatis写法: #{parameter}。 方式二:接收的参数直接拼接在SQL ,不会自动添加引号,mybatis写法:${parameter}。 方式二通常用于在SQL直接拼接语句:比如动态拼接 order by ${parameter} ...
Mybatis学习笔记-11 取值符号$#以及SQL注入问题
The Shawshank Redemption
01-07 693
区别1: 当有@Parm("xx")指明参数名称时,对于数值型数据,#$不存在实质性的区别,对于字符型数据,$取出的值是不会自带引号''的。 数值型实验: 1. 在DAO添加方法 User queryUserById(@Param("id") Integer id); 2. 编写Mapper.xml A. 采用#取值 <sql id="user_field"> select id,username,password,gender,regist_ti.
mybatis使用#$书写占位符有什么区别?
06-06
MyBatis使用#$书写占位符有什么区别? 在MyBatis,使用#$书写占位符都是用来替换SQL语句的参数,但是它们的功能和作用是不同的。#代表参数预处理,它会将传入的值自动封装成对应的Java类型,可以防止SQL注入攻击,但是不能直接替换表名和列名。$代表参数直接替换,它会将传入的值直接替换到SQL语句,可以用于替换表名和列名,但是容易发生SQL注入攻击。因此,在使用时需要根据具体情况选择使用哪种占位符

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值