大意了,误用了MyBatis的$符号

已于 2023-08-05 11:09:15 修改
阅读量623 收藏
点赞数
文章标签: mybatis
于 2023-04-24 15:44:58 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yi_chao_jiang/article/details/130155910
版权

复盘

近期有一个小业务需求,非常简单,本质就是增加几个过滤参数,可以透传给数据库就可以了。

代码使用MyBatis作为ORM框架

原始SQL如下

<select id="listDevices" resultType="DeviceDO">
  select device_uuid as deviceUUID, client_type as clientType
    from tb_device
    order by gmt_modified desc
</select>

上面没有过滤条件,本次改造是增加client_type的过滤,由于可能存在多个client_type,故需要使用MyBatis的foreach用法构造in条件。当时偷了个懒,直接从现有代码库里面copy了一份做了改动。

第一版改造如下:

<select id="listDevices" resultType="DeviceDO">
  select device_uuid as deviceUUID, client_type as clientType
    from tb_device
    where client_type in <foreach collection="list" index="index" item="item" open="(" close=")" separator=",">
		${item}</foreach>
    order by gmt_modified desc
</select>

关于foreach用法可以参照:https://juejin.cn/post/6844903886575108110

自以为应该没有问题,就屁颠屁颠的部署服务到预发环境了,结果报错了。

MyBatis的异常:

Unknown column 'android' in 'where clause'] with root cause

奇怪,怎么会把android当做了列呢,这明明是查询条件才对。从日志里面又捞取了一下执行的SQL,终于发现端倪,原来传入到的条件并没有添加""。

select device_uuid as deviceUUID, client_type as clientType       
from tb_device
where client_type in  (android , iOS )
order by gmt_modified desc

那就再检查一下代码吧,把自己的代码和原来copy的代码仔细做了一下对比,并未发现异常,奇怪+1。

那就再检查一下对应的字段类型吧,发现原来正常工作的类型是int,所以即使不加引号也可以正常运行。但是这里的client_type是varchar类型,如果不加引号那就会报错。

所以问题来了,为什么没有添加引号呢? 还是检查一下MyBatis的Mapper文件,发现犯了一个巨大的错误,其他条件地方使用的是#+变量名,这里使用了$+变量名,那就替换一下吧。

更新后SQL:

<select id="listDevices" resultType="DeviceDO">
  select device_uuid as deviceUUID, client_type as clientType
    from tb_device
    where client_type in <foreach collection="list" index="index" item="item" open="(" close=")" separator=",">
		#{item}</foreach>
    order by gmt_modified desc
</select>

替换以后执行就正常了。

==>  Preparing: select device_uuid as deviceUUID, client_type as clientType from tb_device where client_type in ( ? , ? ) order by gmt_modified desc 
==> Parameters: android(String), iOS(String)
<==      Total: 0

延伸

关于MyBatis #和$的区别,可以参照一下这个https://segmentfault.com/a/1190000004617028

提取一下文章关键信息,mybatis 在对 sql 语句进行预编译之前,会对 sql 进行动态解析。

  • #{ } 解析为一个 JDBC 预编译语句(prepared statement)的参数标记符,能使用#{ }的地方就用#{ }
  • ${ } 仅仅为一个纯碎的 string 替换,在动态 SQL 解析阶段将会进行变量替换,表名作为变量时,必须使用 ${ }。
51iwowo
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
mybatis 插入 含有美元符号($) 字符串 报 java.lang.IndexOutOfBoundsException: No group 2 的问题...
weixin_30278311的博客
12-20 817
  一:问题描述:     在springboot-security框架生成BCryptPasswordEncoder()方法生成加密后的密码后,带有$符号,导致新增用户的时候插入不了,报(IndexOutOfBoundsException: No group 2)的错误!   谷歌一下java.lang.IndexOutOfBoundsException: No group...
Mabitis中的#与$符号区别及用法介绍
08-31
MyBatis中,`#`和`$`符号在SQL动态语句中扮演着不同角色,它们的主要区别和用法如下: 一、`#`与`$`的区别 1. `#{}`:MyBatis将`#{}`视为PreparedStatement的参数标记符。当SQL语句中的`#{}`被解析时,它会被...
(记录)关于mybatisSQL语句中#符号和$符号的坑
qq_55024883的博客
10-25 257
(记录)关于mybatisSQL语句中#符号和$符号的坑
spring+mybatis框架配置文件中使用${}占位符报错
elibaxin的专栏
05-17 1042
在spring里使用org.mybatis.spring.mapper.MapperScannerConfigurer 进行自动扫描的时候,设置了sqlSessionFactory 的话,可能会导致PropertyPlaceholderConfigurer失效,也就是用${jdbc.username}这样之类的表达式,将无法 获取到properties文件里的内容。 导致这一原因是因为,Mappe
Mybatis特殊符号报错
最新发布
chao_1218的博客
11-01 99
符号 替换符号 < &lt; <= &lt;= > &gt; >= &gt;= & &amp; ' &apos; " &quot;
Mybatis】关于mybatis使用#{}符号传入字符串被转义的问题
qq_39182029的博客
01-15 1044
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Mar
mybatis xml中特殊字符处理及特殊符号
08-27
MyBatis提供了两种处理特殊符号的方法: 1. **直接替换法**:将特殊字符替换为对应的转义序列。例如,SQL语句 `create_date_time >= #{startTime} and create_date_time ,需要将 `>=` 和 `替换为 `>=` 和 `<...
Java Mybatis中的 ${ } 和 #{ }的区别使用详解
08-18
Java Mybatis中的 ${ } 和 #{ } 的区别使用详解 Java Mybatis 中的 ${ } 和 #{ } 是两个不同的占位符,都是用于在 Mybatis 中进行动态 SQL 语句的构建和参数传递。然而,这两个占位符在使用时有着极其重要的区别。 ...
MyBatis中#号与美元符号的区别
08-31
MyBatis框架中,#号和美元符号($)在动态SQL中的使用有着显著的区别,这些差异直接影响到SQL语句的预编译、类型匹配以及安全性。 首先,#{}是MyBatis的预编译占位符。当使用#{变量名}时,MyBatis会进行预编译处理...
浅谈Mybatis #和$区别以及原理
08-18
浅谈Mybatis #和$区别以及原理 Mybatis是一款流行的持久层框架,它提供了两个占位符:#和$,它们均用于参数化SQL语句,但是它们的作用和原理却有所不同,本文将详细介绍这两者的区别和原理。 #和$的区别 在...
【8016】解决mybatis中用${}或#{}报错:ReflectionException: There is no getter for property named XX class
Caojian_0的博客
09-30 2523
【8016】解决mybatis中用${}或#{}报错:ReflectionException: There is no getter for property named XX class
MyBatis Error evaluating expression;Malformed OGNL expression;Encountered xxx at line x,column x问题解决
旭东怪的博客
08-05 1771
问题描述: Servletnestedexceptionisorg.mybatis.spring.MyBatisSystemException:nestedexceptionisorg.apache.ibatis.builder.BuilderException:Errorevaluatingexpression'type!=${@com.constants.UserConstants@TYPE_READ}'.Cause:org.apache.ibatis.ognl.Expres...
mybatis的SQL注入如何防止、#和$ 区别
dl674756321的博客
07-16 515
SQL注入 SQL注入是一种攻击手段,它指的是使用构造恶意的SQL语句,欺骗服务器执行SQL命令,让后台的数据库去解析,从而达到入侵目标网络,获取敏感信息的攻击手段。 如何防止sql注入 #{}是经过预编译的,是安全的,${}是未经过预编译的,仅仅是取变量的值,是非安全的,存在SQL注入。 MyBatis的SQL预编译是JDBC中的PreparedStatement类在起作用,PreparedStatement是Statement的子类,它的对象包含了编译好的SQL语句。这种“准备好”的方式不仅能提高安全
Mybatis系列全解(四):全网最全!Mybatis配置文件XML全貌详解
潘潘和他的朋友们
12-08 1907
封面:洛小汐 作者:潘潘 做大事和做小事的难度是一样的。两者都会消耗你的时间和精力,所以如果决心做事,就要做大事,要确保你的梦想值得追求,未来的收获可以配得上你的努力。 前言 上一篇文章 《Mybatis系列全解(三):Mybatis简单CRUD使用介绍》 ,我们基本上手了 Mybatis 的增删改查操作,也感受到 Mybatis 的简单高效舒美,但是肯定有部分朋友对于 Mybatis 的配置文件只是了解基本组成和大致用法,尚无一套完整的结构记忆,所以本篇文章我们将详细的介绍 Mybatis 的配.
Mybatis中$会存在SQL注入为什么有时候还是不得不用$
小百的博客
09-08 667
<select id="queryByParams" parameterType="MyTestDO" resultMap="MyTestMap"> 2 SELECT * FROM tb_name order by #{ID} 3 </select> 如果用#,假如前端传入ID: deparment_id 就会变成select * from tb_name order by ‘deparment_id’,就无法在数据库中搜索到数据,数据库中的字段不存在 ‘字
工作发狂:Mybatis 中$和#千万不要乱用!
Java后端技术
05-08 831
点击上方“Java后端技术”,选择“置顶或者星标”你关注的就是我关心的!作者:程序猿的内心独白开头这是一次代码优化过程中发现的问题,在功能优化后发现部分数据查不到出来了,...
MyBatis 中 ${}和 #{}千万不要乱用
热门推荐
小布1994的博客
07-26 3万+
1、#{}是预编译处理,MyBatis在处理#{ }时,它会将sql中的#{ }替换为?,然后调用PreparedStatement的set方法来赋值,传入字符串后,会在值两边加上单引号,如上面的值 “4,44,514”就会变成“ ‘4,44,514’ ”; 2、是字符串替换,在处理是字符串替换,MyBatis在处理时,它会将sql中的{}是字符串替换,在处理{ }是字符串替换, MyBat...
mybatis 报错 Encountered: "\uff0c" (65292), after .......
q1035331653的博客
09-25 1万+
原因:mapper中中文逗号和英文逗号一样 在mapper中显示的 user_id, date, user_name 逗号存在差异,user_id后的是英文逗号,date后面的是中文逗号,出现这种问题建议把sql直接在navicat中运行一次,就可以很轻易的找出错误 ...
mybatis的$符号使用案例
04-06
MyBatis中的$符号用于直接替换变量,不会对变量进行预编译处理。以下是一些使用$符号的案例: 1. 查询语句中使用$符号替换变量 ``` SELECT * FROM users WHERE city = '${city}' ``` 在这个例子中,${city}将...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

51iwowo

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值