mybatis中#与$的区别

最新推荐文章于 2024-06-12 21:52:13 发布
最新推荐文章于 2024-06-12 21:52:13 发布
阅读量8.4k 收藏 43
点赞数 5
分类专栏: Mybatis 文章标签: mybatis
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yyj108317/article/details/107976305
版权

 

MyBatis中使用parameterType向SQL语句传参,parameterType支持的类型可以是基本类型int,String,HashMap和java自定义类型。

在SQL中引用这些参数的时候,可以使用两种方式:

#{parameterName}

${parameterName}

首先,我们说一下这两种引用参数时的区别:

使用 #{parameterName}引用参数的时候,Mybatis会把这个参数认为是一个字符串,并自动加上'',例如传入参数是“zhangsan”,那么在下面SQL中:

 <select id="selectUserByName" resultType="user">
    select * from user where name = #{name}
 </select>

使用的时候就会转换为:

select * from user where name = 'zhangsan'

 

同时使用${parameterName}的时候在下面SQL中

 <select id="selectUserByName" resultType="user">
    select * from user where name = ${name}
 </select>

就会直接转换为:

select * from user where name = zhangsan

简单说#{}是经过预编译的,是安全的

${}是未经过预编译的,仅仅是取变量的值,是非安全的,存在SQL注入

#{} 这种取值是编译好SQL语句再取值 ${} 这种是取值以后再去编译SQL语句

下面我们用一个实际的例子看看分别使用和是否可以防止SQL注入。

首先是使用#{}:

 <select id="selectUserByName" resultType="user">
    select * from user where name = #{name}
 </select>

 

传参:

 @Test
    public void selectUserByName(){
        SqlSession sqlSession = MybatisUtil.getSqlSession();
        UserMapper userMapper = sqlSession.getMapper(UserMapper.class);
        String name = "zhangsan or password=111111";
        List<User> users =  userMapper.selectUserByName(name);
        for (User user:users) {
            System.out.println(user);
        }
        sqlSession.close();
    }

 

结果如下:

现在是使用${}

 <select id="selectUserByName" resultType="user">
    select * from user where name = ${name}
 </select>

传参:


    @Test
    public void selectUserByName(){
        SqlSession sqlSession = MybatisUtil.getSqlSession();
        UserMapper userMapper = sqlSession.getMapper(UserMapper.class);
        String name = "'zhangsan' or password='111111'";
        List<User> users =  userMapper.selectUserByName(name);
        for (User user:users) {
            System.out.println(user);
        }
        sqlSession.close();
    }

 

结果如下:

 

很明显,使用${}将参数拼接后在编译成SQL语句,不能防止SQL注入,查询出了有关password=111111的额外信息,这是很危险的。

Mybatis中的#{}用于传递查询的参数,用于从dao层传递一个string参数过来(也可以是其他参数),select * from 表名 order by age=#{age}

Mybatis会把这个参数转换成一个字符串。select * from 表名 order by age="age" 相当于jdbc中的预编译,安全。

而${}一般用于order by的后面,Mybatis不会对这个参数进行任何的处理,直接生成了sql语句。例:传入一个年龄age的参数,select * from 表名 order by ${age}

Mybatis生成的语句为 select * from 表名 order by age Mybatis不会对$传递的参数做任何处理,相当于jdbc中的另外一种编译方式。

总结:一般我们使用#{},不使用${}

原因:

会引起sql注入,${}会直接参与sql编译。会影响sql语句的预编译。

 

引自:https://www.cnblogs.com/PoetryAndYou/p/11622334.html

白不懂黑的静
关注
  • 5
    点赞
  • 43
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
Mybatis的#和$的区别
qq_27811247的博客
06-22 4万+
在学校的时候,想必大家肯定听老师讲过,在mybatis,配置参数要用#,不要用$符号。因为$不安全,容易被sql注入。讲是这么讲,但是如何注入的,大家一起来看看吧。 一:下面我们写个关于“#”的个sql,看能不能注入。 <select id="selectUser" resultMap="BaseResultMap"> SELECT ...
MyBatis#和$区别
你只管努力,
11-25 243
1.#是占位符。 $是用来拼接字符,虽然也是占位但是做不了字符的转换。#自动转换 日常报标识符无效的异常 2.#直接获取属性名称 $首先去获取properties文件的属性名称,没有的话再去对象或者参数找。 3.#占位符 $拼接字符串,容易出现SQL注入。 为什么要引入$符号? 因为当数据库非常大的时候需要进行分库和分表, 数据量大的时候#无法处理 这时候就需要$来处理了。传...
MyBatis#{}和${}的区别
m0_67683346的博客
02-28 4740
MyBatis#{}和${}的区别
Mybatis#和$的区别
伏颜的博客
07-11 1万+
Mybatis#和$的区别
MyBatis详解
最新发布
这河里吗l的博客
06-12 1534
MyBatis详解 目录 1.MyBatis介绍 2.MyBatis执行流程 3.MyBatis的增删改查(CRUD) 4.ORM映射 5.关联查询 6.延迟加载 7.动态SQL 8.MyBatis缓存介绍
Mybatis的${}和#{}区别
web18484626332的博客
08-02 8786
动态sql是mybatis的主要特性之一,在mapper定义的参数传到xml之后,在查询之前,mybatis会对其进行动态解析。mybatis为我们提供了两种支持动态sql的语法#{}以及${}提示以下是本篇文章正文内容,下面案例可供参考。...
mybatis的#{}和${}的区别
勿视人非 的专栏
05-21 3924
1. 取值范围不同 MyBatis既可以获取执行SQL时插入的请求参数,也可以从主配置文件加载的配置文件获取配置参数。 #{}只能获取请求参数的值,无法获取配置参数。 ${}在MyBatis初始化时能获取配置参数,如果没有,执行时再获取请求参数。 2. 处理方式不同 #{} 如果SQL只有#{}或者可以被配置参数替换的${},那么在初始化时#{}就被解析成了占位符?。 如果SQL有动态标签(例如if,where),或者无法被配置参数替换的${},那么#{}在执行SQL时才会被替换成占位符?。#{}的
Mybatis常问:#{}与${}的区别
zjjcchina的博客
06-06 2090
查询到数据才可以是登录成功,否则表示登陆失败,但是会有这么一种情况,我们的SQL语句是由我们拼接的,如果用户故意输入可以让后台解析失败的字符串,这就是SQL注入,例如我们输入密码,输入 '''' ' or 1=1'' 这样,他会在后台进行拼接成select count(1) from table where username = 'username' and password = '' or 1=1;由结果可以看出,我们在没有密码的情况下依旧获取到了数据库的私密信息,由此可见${}存在很大的安全隐患。
浅谈Mybatis #和$区别以及原理
08-18
浅谈Mybatis #和$区别以及原理 Mybatis是一款流行的持久层框架,它提供了两个占位符:#和$,它们均用于参数化SQL语句,但是它们的作用和原理却有所不同,本文将详细介绍这两者的区别和原理。 #和$的区别 在...
浅谈mybatis的#和$的区别
09-02
MyBatis,`#`和`$`是用来动态构造SQL语句的占位符,它们的区别主要在于SQL预编译和防止SQL注入的能力。理解这两种符号的用法对于编写安全、高效的MyBatis映射文件至关重要。 1. `#`占位符: - `#`将传入的数据...
Mybatis#{}和${}传参的区别及#和$的区别小结
09-02
MyBatis框架,`#{}`和`${}`是两种不同的参数占位符,它们在处理传参时有着显著的差异,同时也关联到`#`和`$`的区别。理解这些差异对于编写安全且高效的SQL查询至关重要。 首先,`#{}`是MyBatis的预编译参数占位...
Mybatis下动态sql##和$$的区别讲解
08-26
Mybatis下动态sql##和$$的区别讲解 Mybatis是一款流行的ORM框架,能够帮助开发者快速构建数据库交互应用程序。在Mybatis,动态SQL是一种强大特性,能够根据不同的输入参数生成不同的SQL语句。在Mybatis,使用...
Mybatis之#{}与${}的区别使用详解
08-19
Mybatis之#{}与${}的区别使用详解 Mybatis是一款流行的持久层框架,它提供了两种方式来从数据库获取数据,即#{}和${}。这两种方式都可以用来从数据库获取数据,但是它们有着不同的使用场景和优缺点。 #{}的...
mybatis的#和$的区别
热门推荐
kobi521的专栏
11-25 11万+
1. #将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by "111", 如果传入的值是id,则解析成的sql为order by "id".    2. $将传入的数据直接显示生成在sql。如:order by $user_id$,如果传入的值是111,那么解析成sql时的
请简述MyBatis #{} 和 ${} 之间的区别
Jiali的博客
05-10 1579
​ 首先和都可以用来读取调用Mapper接口时传递给方法的形参值,形参可以是基本类型、引用类型(对象),不管是读取基本类型还是对象的属性,都可以用或直接获取到。
mybatis - 取值符号:# 和 $的区别
pig_ning的博客
04-25 661
mybatis - 取值符号:# 和 $的区别
MyBatis${} 和 #{} 有什么区别
分享Java技术知识,共同成长进步!
09-14 5685
${} 和 #{} 都是 MyBatis 用来替换参数的,它们都可以将用户传递过来的参数,替换到 MyBatis 最终生成的 SQL ,但它们区别却是很大的,接下来我们一起来看。 1.功能不同 ${} 是将参数直接替换到 SQL ,比如以下代码: 最终生成的执行 SQL 如下: 从上图可以看出,之前的参数 ${id} 被直接替换成具体的参数值 1 了。 而 #{} 则是使用占位符的方式,用预处理的方式来执行业务,我们将上面的案例改造为 #{} 的形式,实现代码如下: 最终生成的 S
mybatis#和$的区别
aaaaAyy12的博客
09-04 1万+
mybatis#和$的区别是什么 在mybatis#和KaTeX parse error: Expected 'EOF', got '#' at position 8: 的主要区别是:#̲传入的参数在SQL显示为字符…传入的参数在SqL直接显示为传入的值,$方式无法防止Sql注入。 MyBatis 是一款优秀的持久层框架,它支持定制化 SQL、存储过程以及高级映射。MyBatis 避免了几乎所有的 JDBC 代码和手动设置参数以及获取结果集。MyBatis 可以使用简单的 XML 或注解来配置和映
Mybatis # 与$的区别
09-23
与传统的JDBC相比,Mybatis提供了更简洁、灵活的方式来执行SQL语句并映射数据到Java对象Mybatis的核心思想是将SQL语句与Java代码进行分离,通过使用XML或注解来描述SQL语句的编写和映射规则。这样可以使得SQL...
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值