Mybatis中#{}和${}的区别

最新推荐文章于 2024-07-25 13:07:58 发布
最新推荐文章于 2024-07-25 13:07:58 发布
阅读量4k 收藏 9
点赞数 1
分类专栏: Mybatis

1、生成执行sql以及sql安全方面:

(1)使用#{}格式的语法,在mybatis中会使用Preparement语句来安全地设置值,跟踪断点会看到即将执行的sql中用“?”做占位符,执行sql类似于

 

PreparedStatement ps = conn.prepareStatement(sql);
ps.setInt(1,id);

 

同时,#{}写法会将传入的数据都当成一个字符串,会对传入的数据加一个双引号,因此可以在很大程度上防止sql注入,

如:select * from user where user_id =  #{userId},如果传入的值是111,那么解析成的sql时为... where user_id =  "111";

(2)使用${}时,mybatis不会将传入的数据当成一个字符串,执行sql类似于

 

 Statement st = conn.createStatement();
ResultSet rs = st.executeQuery(sql);

 

 这种写法会将传入的数据会直接显示在执行的sql中。

如:select * from user where user_id =  #{userId},如果传入的值是100,那么解析成的sql为... where user_id =  100;

可能会发生sql注入,例如传入的参数是单引号',将会执行... where user_id =  ‘ 这样的语句,会报sql语法错误。

2、传入一个不改变的字符串或者传入数据库字段(列名),例如要传入order by 后边的参数

这种情况下必须使用${}。

综上,#{}方式一般用于传入字段值,并将该值作为字符串加到执行sql中,一定程度防止sql注入;

${}方式一般用于传入数据库对象,例如传入表名,不能防止sql注入,存在风险。

3、模糊查询中,如果使用如下方式:select * from reason_detail where reason_en like '%${reason}%',此处只能使用$,使用#的话,反而会被解析为列,报错java.sql.SQLException: Column 'reason' not found

木林森淼
关注
  • 1
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
mybatis的#{}和${}的区别
jackzhang1996的博客
03-25 226
mybatis的#{}和${}的区别 FIRST 首先要搞清楚一个动态解析和预编译。动态解析可以理解为mybatis将mapper的sql解析为预编译语句可以认识的预编译sql;预编译就是PreparedStatement对sql进行编译,变为DBMS可以直接执行的sql。 SECOND #{}是占位符、防止sql注入,mybatis在动态解析的时候会将#{} 替换为? 然后用Prepared...
Mybatis下动态sql##和$$的区别讲解
08-26
Mybatis下动态sql##和$$的区别讲解 Mybatis是一款流行的ORM框架,能够帮助开发者快速构建数据库交互应用程序。在Mybatis,动态SQL是一种强大特性,能够根据不同的输入参数生成不同的SQL语句。在Mybatis,使用...
MyBatis#{}和${}的区别详解
莫日向西的博客
09-02 521
最近在用mybatis,之前用过ibatis,总体来说差不多,不过还是遇到了不少问题,再次记录下. 先给大家介绍下MyBatis#{}和${}的区别,具体介绍如下: 1. #将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by "111", 如果传入的值是id,则解析成的sql为
【${} 和 #{} 有什么区别
最新发布
m0_50116974的博客
07-25 935
{}${}是直接替换,而 #{} 是预处理;2、使用场景不同:普通参数使用 #{},如果传递的是 SQL 命令或 SQL 关键字,需要使用${},但在使用前一定要做好安全验证;3、安全性不同:使用${}存在安全问题,而 #{} 则不存在安全问题。
Mybatis——#{}和${}的区别
热门推荐
想着百万年薪努力的小赵
07-08 5万+
在使用mybatis的时候我们会使用到#{}和${}这两个符号来为sql语句传参数,那么这两者有什么区别呢?#{}是预编译处理,是占位符,${}是字符串替换,是拼接符Mybatis在处理#{}的时候会将sql的#{}替换成?号,调用PreparedStatement来赋值 如: 设userName=yuze看日志我们可以看到解析时将#{userName}替换成了 ? 然后再把yuze放进去,外面加上单引号 设userName=yuze看日志可以发现就是直接把值拼接上去了 这极有可能发生sql注入,下面举了
mybatis#{}和${}的区别
也许我太傻
03-29 914
MyBatis的使用过程当,使用参数进行sql拼装经常会使用到#{var}和${var}这两种参数的设置方式。 两种情况在sql拼装的过程都会使用的到,下面是两种方式的不用之处: #{var}: 使用预编译的方式将参数设置到sql语句当(相当于占位符 ?) 使用的是原生jdbc的prepareStatrment 能够在一定程度上防止sql注入的风险(无法避免%的问题) ${v...
浅谈Mybatis #和$区别以及原理
08-18
浅谈Mybatis #和$区别以及原理 Mybatis是一款流行的持久层框架,它提供了两个占位符:#和$,它们均用于参数化SQL语句,但是它们的作用和原理却有所不同,本文将详细介绍这两者的区别和原理。 #和$的区别 在...
浅谈mybatis的#和$的区别
09-02
MyBatis,`#`和`$`是用来动态构造SQL语句的占位符,它们的区别主要在于SQL预编译和防止SQL注入的能力。理解这两种符号的用法对于编写安全、高效的MyBatis映射文件至关重要。 1. `#`占位符: - `#`将传入的数据...
Mybatis#{}和${}传参的区别及#和$的区别小结
09-02
MyBatis框架,`#{}`和`${}`是两种不同的参数占位符,它们在处理传参时有着显著的差异,同时也关联到`#`和`$`的区别。理解这些差异对于编写安全且高效的SQL查询至关重要。 首先,`#{}`是MyBatis的预编译参数占位...
mybatis面试题#和$的区别.pdf
04-24
mybatis面试题#和$的区别.pdf
Mybatis的${}和#{}区别
web18484626332的博客
08-02 8801
动态sql是mybatis的主要特性之一,在mapper定义的参数传到xml之后,在查询之前,mybatis会对其进行动态解析。mybatis为我们提供了两种支持动态sql的语法#{}以及${}提示以下是本篇文章正文内容,下面案例可供参考。...
MyBatis #{}和${}的区别是什么
书香水墨
10-19 145
1、#{}和${}的区别是什么? ${}是字符串替换,#{}是预处理; Mybatis在处理时,就是把{}时,就是把时,就是把{}直接替换成变量的值。而Mybatis在处理#{}时,会对sql语句进行预处理,将sql的#{}替换为?号,调用PreparedStatement的set方法来赋值; 使用#{}可以有效的防止SQL注入,提高系统安全性。 ...
mybatis #{}和${}的区别是什么?
最帅程序猿的博客
01-11 343
***#{}是预编译处理,KaTeX parse error: Expected 'EOF', got '#' at position 26: …** Mybatis 在处理#̲{}时,会将 sql 的#{…{}时,就是把${}替换成变量的值。 **使用#{}可以有效的防止 SQL 注入,**提高系统安全性。 ...
Mybatis#{}和${}的区别是什么?
whitek387的博客
07-30 1214
原文链接,讲的很细!!!!! 动态 sql 是 MyBatis 的主要特性之一,在 mapper 定义的参数传到 xml 之后,在查询之前 MyBatis 会对其进行动态解析。MyBatis 为我们提供了两种支持动态 sql 的语法:#{} 以及 ${}。 面试题:#{}和KaTeX parse error: Expected 'EOF', got '#' at position 13: {}的区别是什么? 1)#̲{}是预编译处理, {}是字符串替换。 2)MyBatis在处理#{}时,会将SQL
mybatis#{}和${}的区别是什么?
千山
08-05 1134
网上的答案是: 1.#{}是预编译处理,${}是字符串替换。 2.mybatis在处理#{}时,会将sql的#{}替换为?号,调用PreparedStatement的set方法来赋值;mybatis在处理${}时,就是把${}替换成变量的值。 3.使用#{}可以有效的防止SQL注入,提高系统安全性。   对于这个题目我感觉要抓住两点: (1)$符号一般用来当作占位符,常使用Linux脚...
Mybatis#{}和${}有什么区别
陌子曦的专栏
03-25 3883
一般说来,二者的区别可总结为以下6点:(1)#将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by "111",如果传入的值是id,则解析成的sql为order by "id"。(2)$将传入的数据直接显示生成在sql。如:order by $user_id$,如果传入的值是111,...
请问MyBatis#{}和${}的区别是什么???
liyanfang0310的博客
07-01 1350
#{}是预编译处理,$ {}是字符串替换。mybatis在处理#{}时,会将sql的#{}替换为?号,调用PreparedStatement的set方法来赋值;mybatis在处理时,就是把{}时,就是把时,就是把 {}替换成变量的值。使用#{}可以有效的防止SQL注入,提高系统安全性。 对于这个题目我感觉要抓住两点: (1)$ 符号一般用来当作占位符,常使用Linux脚本的人应该对此有更深的体会吧。既然是占位符,当然就是被用来替换的。知道了这点就能很容易区分$和#,从而不容易记错了。 (2)预编译的机制
MyBatis - #{ } 和 ${ } 的区别是啥 ? 看这里就知道了!
XiaoJian的博客
11-10 605
一张图就可以明白 区别所在. #{ } 表示一个占位符 ? 1.通过#{ }可以实现preparedStatement向占位符设置值, 2.自动进行java类型和jdbc类型转换, 3.#{ }可以有效防止sql注入。 4.#{ }可以接收简单类型值或pojo属性值。 5.如果parameterType传输单个简单类型值,#{ }括号可以是value或其它名称。     ...
mybatis#和$的区别
06-07
MyBatis,#和$都是用于替换SQL语句的占位符的符号,但它们的处理方式不同。 #号表示占位符,通过预编译的方式将传入的参数值进行安全的替换,防止SQL注入攻击,同时将参数值转换为对应的JDBC类型。例如: ``...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值