Mybatis # $ 区别

最新推荐文章于 2023-07-19 08:31:43 发布
最新推荐文章于 2023-07-19 08:31:43 发布
阅读量2.1k 收藏
点赞数 1
分类专栏: # Mybatis 文章标签: spring boot 上传文件 代码示例
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yhj19920417/article/details/51330771
版权

MyBatis中使用参数进行SQL拼装经常会使用到#{var}${var}两种参数的设置方式。下面是两种方式的不用之处:

  • #{var}
    • 使用预编译的方式将参数设置到SQL语句中(相当于占位符?)。
    • 使用原生JDBC中的prepareStatrment
    • 在一定程度上防止SQL注入的风险(无法避免%的问题)。
  • ${var}
    • 不适用预编译模式。
    • 取出相应的值直接拼装到SQL语句当中。
    • 会有SQL注入的安全问题。

${var} 的变量的替换阶段是在动态SQL解析阶段,而#{var}的变量的替换是在DBMS中。

  • #{var}取值是编译好SQL语句再取值。#{var}将传入的数据都当成一个字符串,对自动传入的数据加一个双引号。
    如:order by #{id},传入的值为abc,解析后的SQL为order by 'abc'
  • ${var}是取值以后再去编译SQL语句。${var}将传入的数据直接显示生成在SQL中,参数不带引号。
    如:order by ${id},传入的值为abc,解析后的SQL为order by 'bc

在原生JDBC不支持占位符的地方,就不能使用#{var}的形式去进行取值,会导致执行SQL的时候报错。比如数据库表名、排序方式等特殊情况, 都需要使用${var}的形式直接取值。
SELECT xxx FROM ${tableName} WHERE id = #{id} order by ${columnName} ${order}

hjyang19
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
浅谈Mybatis #和$区别以及原理
08-18
主要介绍了浅谈Mybatis #和$区别以及原理,文通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
MyBatis #{} 和 ${} 的区别
liuyuinsdu的专栏
03-12 1128
1、在MyBatis 的映射配置文件,动态传递参数有两种方式: (1)#{}占位符 (2)${}拼接符 2、#{}和${}的区别 (1) 1)#{}为参数占位符?,即sql 预编译 2)${}为字符串替换,即sql 拼接 (2) 1)#{}:动态解析 ->预编译-> 执行 2)${}:动态解析 ->编译-> 执行 (3) 1)#{}的变量替换是在DBMS 2)${}的变量替换是在DBMS外 (4) 1)变量替换后,...
请简述MyBatis #{} 和 ${} 之间的区别
Jiali的博客
05-10 1444
​ 首先和都可以用来读取调用Mapper接口时传递给方法的形参值,形参可以是基本类型、引用类型(对象),不管是读取基本类型还是对象的属性,都可以用或直接获取到。
Mybatis#和$的区别
热门推荐
伏颜的博客
07-11 1万+
Mybatis#和$的区别
mybatis的#{}和${}的区别
勿视人非 的专栏
05-21 3871
1. 取值范围不同 MyBatis既可以获取执行SQL时插入的请求参数,也可以从主配置文件加载的配置文件获取配置参数。 #{}只能获取请求参数的值,无法获取配置参数。 ${}在MyBatis初始化时能获取配置参数,如果没有,执行时再获取请求参数。 2. 处理方式不同 #{} 如果SQL只有#{}或者可以被配置参数替换的${},那么在初始化时#{}就被解析成了占位符?。 如果SQL有动态标签(例如if,where),或者无法被配置参数替换的${},那么#{}在执行SQL时才会被替换成占位符?。#{}的
一文解惑mybatis的#{}和${}
最新发布
一个菜鸡的博客
07-19 3058
{}先编译sql语句,再给占位符传值,底层是PreparedStatement实现。可以防止sql注入,比较常用。${}先进行sql语句拼接,然后再编译sql语句,底层是Statement实现。存在sql注入现象。只有在需要进行sql语句关键字拼接的情况下才会用到。
Mybatis#{}和${}传参的区别及#和$的区别小结
09-02
主要介绍了Mybatis#{}和${}传参的区别及#和$的区别小结 的相关资料,非常不错,具有参考借鉴价值,需要的朋友可以参考下
Mybatis下动态sql##和$$的区别讲解
08-26
今天小编就为大家分享一篇关于Mybatis下动态sql##和$$的区别讲解,小编觉得内容挺不错的,现在分享给大家,具有很好的参考价值,需要的朋友一起跟随小编来看看吧
浅谈mybatis的#和$的区别
09-02
下面小编就为大家带来一篇浅谈mybatis的#和$的区别。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
mybatis面试题#和$的区别.pdf
04-24
mybatis面试题#和$的区别.pdf
Mybatis的$和#
sillyyyy的博客
05-08 2357
在SQL语句执行时,Mybatis会将$占位符替换为对应的参数值,并将SQL语句发送到数据库执行。使用$占位符可以在某些情况下提高SQL语句的性能,因为在预编译时不需要处理参数占位符。#用于预编译,表示参数占位符,例如:#{username}。在SQL语句执行时,Mybatis会将占位符替换为对应的参数值,并将SQL语句发送到数据库执行。使用#占位符可以有效地防止SQL注入攻击,因为Mybatis会将参数值转义后再替换占位符。使用哪种占位符取决于具体的需求,如果需要防止SQL注入攻击,则应该使用#占位符;
MyBatis#{}和${}的区别
m0_67683346的博客
02-28 4406
MyBatis#{}和${}的区别
Mybatis#{}和${}的用法
li_w_ch的博客
11-17 1万+
1、#{}将传入的数据当作一个字符串,会对传入的数据加上一个双引号。 比如, select * from student where student_name = #{studentName} 如果传入的值为xiaoming,那么解析成sql的值为student_name="xioming"。 2、${}将传入的数据直接显示生成在sql。 如 : select ${fieldNmae} from student where student_age = 18 此时,传入的参数作为要查询的字
Mybatis${}和#{}的区别
m0_53773432的博客
10-21 53
{}会识别数据类型,再进行赋值。一般用于字段值的占位,例如where子句${}直接进行拼接。一般用于字段名或表名的占位,因为这两个没有数据类型。
Mybatis常问:#{}与${}的区别
zjjcchina的博客
06-06 1998
查询到数据才可以是登录成功,否则表示登陆失败,但是会有这么一种情况,我们的SQL语句是由我们拼接的,如果用户故意输入可以让后台解析失败的字符串,这就是SQL注入,例如我们输入密码,输入 '''' ' or 1=1'' 这样,他会在后台进行拼接成select count(1) from table where username = 'username' and password = '' or 1=1;由结果可以看出,我们在没有密码的情况下依旧获取到了数据库的私密信息,由此可见${}存在很大的安全隐患。
mybatis#{}和${}的区别
Zhangsama1的博客
08-27 4581
​1:尽量使用#{},只要能使用#{}解决,尽量使用#{}​2:表名作为参数,使用order by排序的时候使用${}3:多参数的时候尽量使用@Param注解,@Param注解作用为给参数命名,命名后即可根据名字得到对应的参数值​。...
Mybatis#{}和${}的区别
Lqf111的博客
10-06 530
1,#{}是占位符,预编译处理;${}是拼接符,单纯的字符串替换,没有预编译处理。 2,Mybatis在处理#{}时,#{}传入参数是以字符串传入,会将SQL的#{}替换为?,调用PreparedStatement的set方法来赋值。 3,Mybatis在处理${}时是原值传入的,就是把{}的内容替换成变量的值,相当于JDBC的Statement编译。 4,变量替换后,#{}对应的变量会自动加上单引号;${}对应的变量不会加上单引号。 5,#{}可以有效的防止SQL注入,提高系统的安全性。
MyBatis${} 和 #{} 有什么区别
分享Java技术知识,共同成长进步!
09-14 5597
${} 和 #{} 都是 MyBatis 用来替换参数的,它们都可以将用户传递过来的参数,替换到 MyBatis 最终生成的 SQL ,但它们区别却是很大的,接下来我们一起来看。 1.功能不同 ${} 是将参数直接替换到 SQL ,比如以下代码: 最终生成的执行 SQL 如下: 从上图可以看出,之前的参数 ${id} 被直接替换成具体的参数值 1 了。 而 #{} 则是使用占位符的方式,用预处理的方式来执行业务,我们将上面的案例改造为 #{} 的形式,实现代码如下: 最终生成的 S
Mybatis的${}和#{}区别
m0_62520968的博客
05-10 1327
一、${}与#{}的区别 1、符号类型 (1)#{}:参数占位符,即预编译 (2)${} :字符串替换符,即SQL拼接 2、防注入问题 (1)#{}:很大程度上能防止sql 注入 (2)${}:不能防止sql 注入 3、参数替换位置 DBMS:数据库管理系统(Database Management System)是一种操纵和管理数据库的大型软件,是用于建立、使用和维护数据库,简称DBMS。它对数据库进行统一的管理和控制,以保证数据库的安全性和完整性。用户通过DBMS访问数据库的数据,数据库管理员也通
mybatis #,$ 的区别
07-13
MyBatis,#{}和${}都是用来传递参数的。它们的区别在于#{}是预编译语句,可以防止SQL注入攻击,而${}是直接替换字符串,不能防止SQL注入攻击。因此,为了安全起见,建议使用#{}来传递参数。 具体来说,#{}会把...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值