mybatis的${}和#{}的区别

最新推荐文章于 2024-06-20 21:10:33 发布
最新推荐文章于 2024-06-20 21:10:33 发布
阅读量131 收藏
点赞数
分类专栏: 技术工具类 文章标签: mybatis的${}和#{}
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yamatou/article/details/82350247
版权

我遇到的问题:

的用#{}接收参数,遇到select * from tableName where id in(?) 后台传参  '1','2' 或者传 1','2  都只能出现id为1的数据
改用${}即可

 

百度的分析:

1. #将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by "111", 如果传入的值是id,则解析成的sql为order by "id".
  
2. $将传入的数据直接显示生成在sql中。如:order by $user_id$,如果传入的值是111,那么解析成sql时的值为order by user_id,  如果传入的值是id,则解析成的sql为order by id.
  
3. #方式能够很大程度防止sql注入。
  
4.$方式无法防止Sql注入。

5.$方式一般用于传入数据库对象,例如传入表名.
  
6.一般能用#的就别用$.

MyBatis排序时使用order by 动态参数时需要注意,用$而不是#

 

别人的参考案例:

今天MyBatis的用动态SQL做一个带不同条件的排序功能,一直没有注意到#{}与${}的问题,今天终于遇到了。SQL语句如下:

select * from goods 

<if test="orderArgs!=null">

    order by #{orderArgs}

</if>

结果没有任何效果。最后把 #{} 改成 ${},结果正确。

此时才发现#{}与${}的不同之处。

动态 SQL 是 mybatis 的强大特性之一,也是它优于其他 ORM 框架的一个重要原因。mybatis 在对 sql 语句进行预编译之前,会对 sql 进行动态解析,解析为一个 BoundSql 对象,也是在此处对动态 SQL 进行处理的。在动态 SQL 解析阶段, #{ } 和 ${ } 会有不同的表现。
select * from goods order by  #{orderArgs}; 
#{} 在动态解析的时候, 会解析成一个参数标记符。就是解析之后的语句是:

select * from goods order by ?;  #{}在代入参数时,自动在参数前后加上字符串,最终形成的SQL语句就成了:

select * from goods order by "price",参数本来是列名,现在变成了一个字符串,结果自然不正确了。

那么我们使用 ${}的时候

select * from goods order by ${orderArgs}; 

${}在动态解析的时候,会将我们传入的参数当做String字符串填充到我们的语句中,就会变成下面的语句
selecxt * from goods order by price
预编译之前的 SQL 语句已经不包含变量了,完全已经是常量数据了。相当于我们普通没有变量的sql了,加了双引号,参数变成了一个字符串。
综上所得, ${ } 变量的替换阶段是在动态 SQL 解析阶段,而 #{ }变量的替换是在 DBMS 中。


这是 #{} 和 ${} 我们能看到的主要的区别,除此之外,还有以下区别:
#方式能够很大程度防止sql注入。
$方式无法防止Sql注入。
$方式一般用于传入数据库对象,例如传入表名.
一般能用#的就别用$.
所以我们在使用mybatis的时候,尽量的使用#方式!!!这是大家要注意的地方。

大塔姆
关注
专栏目录
浅谈mybatis中的#和$的区别
09-02
MyBatis中,`#`和`$`是用来动态构造SQL语句的占位符,它们的区别主要在于SQL预编译和防止SQL注入的能力。理解这两种符号的用法对于编写安全、高效的MyBatis映射文件至关重要。 1. `#`占位符: - `#`将传入的数据...
mybatis的in查询使用#{}传入参数时只返回第一条数据
qq_41357191的博客
08-02 1826
{}变量的替换阶段是在动态SQL解析阶段(前),而#{}变量的替换是在DBMS中(后,执行时)。使用#{}格式的语法会导致MyBatis创建预处理语句,在参数的位置用占位符(比如?传入参数为1,2,3,结果只返回status为1的记录。而在mysql中,in的参数如果是字符串,会自动转为int。2,用mybatis的xml文件的foreach标签。3,用mysql自带的find_in_set()函数。1,用${}代替{},这种办法有SQL注入的风险。最后强转的结果就是只取第一个,...
Mybatis中的in方法遇到的坑
rzx123456rzx的博客
09-22 1709
Mybatis中使用 in(#{XXX}) 查询出的数据不完整
#{} 和 ${} 的区别(JAVA)
最新发布
weixin_63356609的博客
06-20 1278
1、#{} 是预编译处理,${} 是直接替换;2、${} 存在SQL注入的问题,而 #{} 不存在;Ps:这也是面试主要考察的部分~
mybatis in 查询 传入String
scropio0zry的博客
04-12 7076
在使用 mybaits 进行 in 查询时,传入String,如1,2,3,发现查询的结果并非我们想要的 这是因为#{}编译完自动加双引号“” 也就是变成in (“1,2,3”) 如果想要获得我们想要的结果,可以使用${},编译完是这样的in(1,2,3) 例如,查询铃音库中多首铃音的总数量 <select id="getProgsResourceCount" resultT...
mybatis中想直接使用逗号拼接好的字符串放入in中,不要使用#{},而要使用${}
qq_30505421的博客
01-11 2204
使用in()在mysql可以查询出来结果,在mybatis中查询不出结果
mybatis面试题#和$的区别.pdf
04-24
mybatis面试题#和$的区别.pdf
浅谈Mybatis #和$区别以及原理
08-18
浅谈Mybatis #和$区别以及原理 Mybatis是一款流行的持久层框架,它提供了两个占位符:#和$,它们均用于参数化SQL语句,但是它们的作用和原理却有所不同,本文将详细介绍这两者的区别和原理。 #和$的区别 在...
Mybatis中#{}和${}传参的区别及#和$的区别小结
09-02
MyBatis框架中,`#{}`和`${}`是两种不同的参数占位符,它们在处理传参时有着显著的差异,同时也关联到`#`和`$`的区别。理解这些差异对于编写安全且高效的SQL查询至关重要。 首先,`#{}`是MyBatis的预编译参数占位...
Java Mybatis中的 ${ } 和 #{ }的区别使用详解
08-18
Java Mybatis中的 ${ } 和 #{ } 的区别使用详解 Java Mybatis 中的 ${ } 和 #{ } 是两个不同的占位符,都是用于在 Mybatis 中进行动态 SQL 语句的构建和参数传递。然而,这两个占位符在使用时有着极其重要的区别。 ...
Mybatis中使用in()查询
Syals的博客
06-22 2万+
mybatis中使用in查询的两种方式
MyBatis中in 的使用方法
那些年的代码
12-04 1万+
MyBatis中使用in关键字参数为集合时,需要使用到foreach标签。下面详细介绍以下foreach标签的几个参数 foreach属性.png 实例: <select id="getNewListByLabelID" resultMap="BaseResultMap" parameterType="arraylist"> SELECT ...
MyBatis中的${}和#{}
小景的博客
06-28 600
${}、#{}的使用举例: 后端Controller @RequestMapping(value = "/getStatisticsData", method = RequestMethod.GET, produces = "application/json;charset=utf8") public List<SearchResult> getStatisticsData(Long startTime, Long endTime, String argu) { Lis...
mybatis在使用in条件传参,查询出来的结果缺少问题解决
weixin_50348837的博客
11-02 749
这里用的竟然是“#”,如果用#{xxx},mybatis会把他当做一个字符串,并且只会当他是一个值,而且只会按第一个值来查询,即“985”这个值来查询,所以查询出来的是满足equip_type_model_id=985的记录,而满足这一条件的也就是三条记录。打开数据库,查看了一下表里面的空调数量是正确的,和对接的平台的数量是一样的。经过对查询空调信息接口的调试,发现在查询分组的时候只查询到了三个分组,正常应该是有五个分组的。bug大概就是,前端页面展示的空调数量比所对接的平台上的空调数量少了两台。
【安全】mybatis中#{}和${}导致sql注入问题及解决办法
m0_59598029的博客
03-22 2320
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
Mybatis 动态SQL注解 in操作符的用法
gr13811787801的博客
11-15 729
foreach语法如下:  foreach语句中, collection属性的参数类型可以支持:List、数组、map集合。​  item: 表示在迭代过程中每一个元素的别名,可以随便起名,但是必须跟元素中的#{}里面的名称一样。​  collection: 必须跟mapper.java中@Param标签指定的元素名一样。separator:分隔符,表示迭代时每个元素之间以什么分隔。open:前缀, sql语句中集合都必须用小括号()括起来。index:表示在迭代过程中每次迭代到的位置(下标)
MyBatis In的使用
CODE男孩的博客
12-08 277
项目中where条件中用到in,我理所当然的拼了个字符串传进去了,郁闷的是程序一直运行正常,测试case一直没有覆盖到这种情况,今天发现了,原来是程序的问题,我以为mybatis有bug呢。。。。。故记下此问题,留作笔记。                        1.解决方法(多参数)                Map.xml
Mybatis使用IN语句查询
热门推荐
fendo
03-23 36万+
一、简介在SQL语法中如果我们想使用in的话直接可以像如下一样使用:select * from HealthCoupon where useType in ( '4' , '3' )但是如果在MyBatis中的使用in的话,像如下去做的话,肯定会报错: Map&lt;String, Object&gt; selectByUserId(@Param("useType") String useT...
Mybatis中$与#的区别, $的应用场景
04-23
#的区别是什么? Mybatis中$和#都用于动态SQL语句中的参数绑定,但它们之间有几个区别: 1. #用于预编译,$用于值传递。#会将参数放入预编译语句中的占位符中,可以避免SQL注入,但会使SQL语句无法重用;$将参数直接拼接进SQL中,可以重用SQL语句,但有SQL注入的风险。 2. #可以自动进行类型转换,$不能自动转换。#会根据目标类型自动转换参数类型,$需要手动进行类型转换。 3. #可以在SQL中使用占位符,$不能使用。#可以在SQL语句中使用占位符进行模糊查询等操作,$只能直接拼接参数值。 因此,在使用Mybatis时,应根据具体的业务场景和需求选择使用#或$。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值