Mbatis 的#{}和¥{}说明:

最新推荐文章于 2023-08-27 20:58:57 发布
最新推荐文章于 2023-08-27 20:58:57 发布
阅读量1.4k 收藏
点赞数
分类专栏: Mybatis
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/za10056108/article/details/52638595
版权

关于:Mbatis 访问数据的#{}和¥{}说明:

亲身体验,并不是#对所有的数据都默认加引号

如果传入的是字符串类型数据 参数用#{}访问就会加引号;如果不是则不会加引号(如下面例子的的Long类型)

当然#能防止注入攻击
MyBatis排序时使用order by 动态参数时需要注意,用$而不是#

以下例子是用ibatis(mybatis同理,访问格式不同而已(ibatis#参数#,mybatis#{} ))

 /**
     * 如果说插入的参数是数值类型的,#映射不会加上'';这时候如果数据库里的对应字段是字符类型,且存在字符数据的时候;就会报错;
     * 所以一般我们还是需要数据库类型和参数类型对应
     * @param registerNo
     * @return
     */
    public Long getFarePublishByRegisterNoAndType(Long registerNo,String registerType){
        Long baseFareId = null;
        try{
            Map<String,Object> params = new HashMap<String, Object>();
            params.put("registerNo", registerNo);//参数数值型;#访问不会加''
            params.put("registerType", registerType);
            baseFareId = (Long)getSqlMapRepository().queryByObject("getBaseFareInterByRegisterNoAndType",params);
        } catch (Exception a) {
            a.printStackTrace();
        }
        return baseFareId;
    }

sql是这样的:其中DISPLAY_NO在数据库里是varchar2类型;传入的registerNo是Long类型

<select id="getBaseFareInterByRegisterNoAndType" parameterClass="java.util.HashMap" resultClass="java.lang.Long">
        <![CDATA[ SELECT T.ID FROM T_BASE_FARE_INTER T WHERE T.DISPLAY_NO=#registerNo# AND T.FARE_TYPE=#registerType# ]]>
    </select>

由于插入的参数registerNo 是数值类型的,#映射不会加上”;所以如果存在一条 DISPLAY_NO 字段非数值型数据的记录,就会报错

解决方法:

  • 我们应该尽量保存数据库中字段类型和参数类型对应;
public Long getFarePublishByRegisterNoAndType(Long registerNo,String registerType){
        Long baseFareId = null;
        try{
            Map<String,Object> params = new HashMap<String, Object>();
            params.put("registerNo", registerNo.toString());//参数字符型;#访问会加''
            params.put("registerType", registerType);
            baseFareId = (Long)getSqlMapRepository().queryByObject("getBaseFareInterByRegisterNoAndType",params);
        } catch (Exception a) {
            a.printStackTrace();
        }
        return baseFareId;
    }
  • 显示加引号
<select id="getBaseFareInterByRegisterNoAndType" parameterClass="java.util.HashMap" resultClass="java.lang.Long">
        <![CDATA[ SELECT T.ID FROM T_BASE_FARE_INTER T WHERE T.DISPLAY_NO='$registerNo$' AND T.FARE_TYPE=#registerType# ]]>
    </select>
Nano小蛋卷
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
spring mvc mbatis
01-12
Spring MVC 和 MyBatis 是两个在 Java Web 开发广泛使用的框架。Spring MVC 是 Spring 框架的一部分,主要用于构建 MVC(Model-View-Controller)架构的 Web 应用程序,而 MyBatis 是一个轻量级的持久层框架,它...
mbatis自动产生分页
12-13
在处理大量数据时,分页查询是必不可少的功能,能够有效地提高系统性能和用户体验。`mbatis自动产生分页`这个主题就是关于如何在MyBatis实现自动化的分页查询。 首先,MyBatis Generator (MBG) 是一个工具,它...
#{}和{}的区别?
weixin_55555593的博客
06-08 1700
mybatis#{}和{}的区别
#{}和{}的区别
weixin_44451005的博客
10-14 3625
实例: #{}的情况: select name form student where age=#{studentAge}; 参数studentAge=18 编译后 select name form student where age=?; ${}的情况: select name form student where age=${studentAge}; 参数studentAge=18 编译后 select name form student where age=18; 说明: 由上面的实例可见 1.
面试题:Mybatis#{}和${}的区别
天上掉下两毛钱
02-23 1241
#{}和${}的区别是什么? #{}是预编译处理,${}是字符串替换。 Mybatis在处理#{}时,会将sql的#{}替换为?号,调用PreparedStatement的set方法来赋值; Mybatis在处理${}时,就是把${}替换成变量的值。 使用#{}可以有效的防止SQL注入,提高系统安全性。 ...
Mybatis#{}与{}的区别与联系
最新发布
qq_44788380的博客
08-27 363
Mybatis#{}与{}的区别与联系
【Mybatis{}域#{}的区别】
weixin_71307869的博客
06-20 1114
#{}是预编译处理,${}是字符串替换。 详情:(1)mybatis在处理#{}时,会将sql的#{}替换为?号,调用PreparedStatement的set方法来赋值。(2)mybatis在处理时 , 就 是 把 {}时,就是把时,就是把{}替换成变量的值。(3)使用#{}可以有效的防止SQL注入,提高系统安全性。原因在于:预编译机制。预编译完成之后,SQL的结构已经固定,即便用户输入非法参数,也不会对SQL的结构产生影响,从而避免了潜在的安全风险。(4)预编译是提前对SQL语句进行预编译,而其后注入
Spring+SpringMVC+MBATIS整合
07-20
SSM基本整合
SpringMVC+Mbatis
03-28
SpringMVC 和 MyBatis 是两个非常流行的 Java 开发框架,它们在企业级 Web 应用开发被广泛使用。SpringMVC 作为 Spring 框架的一部分,主要用于处理 Web 请求,而 MyBatis 则是一个优秀的持久层框架,简化了数据库...
物业管理系统(spring+springmvc+mbatis)
10-25
首先,Spring框架作为整个系统的基石,提供了依赖注入(Dependency Injection,DI)和面向切面编程(Aspect-Oriented Programming,AOP)的能力,使得代码更易于维护和扩展。SpringMVC作为Spring框架的一部分,负责...
Mybatis的#{}占位符和{}拼接符的区别
qq_41584510的博客
08-26 1072
#{}占位符:占位 如果传入的基本数据类型,那么#{}的变量名称可以随意写 如果传入的参数是POJO类型,那么#{}的变量名称必须是POJO的属性 {}拼接符:字符串原样拼接如果传入的是基本数据类型,那么{}拼接符:字符串原样拼接 如果传入的是基本数据类型,那么{}拼接符:字符串原样拼接如果传入的是基本数据类型,那么{}的变量名必须是value 如果传入的参数是POJO类型,那么${}的...
#{}和${}
m1234ilu的博客
11-06 715
#{}表示一个占位符号,通过#{}可以实现preparedStatement向占位符设置值,自动进行java类型和jdbc类型转换。#{}可以有效防止sql注入。 #{}可以接收简单类型值或pojo属性值。 如果parameterType传输单个简单类型值,#{}括号可以是value或其它名称。 ${}表示拼接sql串,通过${}可以将parameterType 传入的内容拼接在sql且不...
MBatis# $的区别
dzbxq89的博客
02-25 452
使用#时不指定类型时会自动认为是varchar类型即使用时会自动加上‘ ’,使用$时会认为是对象而不是字符串。即不会自动加上‘ ’。重构项目,需求很多需要根据id,进行查询。mybatis提供一种方式  #{item} 要查询的集合放到collection后即可。结果为(元素1,元素2,,元素n)。item为list元素的结果。 另一种方式是 in(“$对象名”)      这种使用
#{}和${}的区别
weixi_app的博客
05-28 3619
一相同点 都可以获取map或者JavaBean的信息 二不同点 # 1.#是预编译处理(是什么) 2.mybatis在处理#的时候,会将sql的#{}替换为?号,调用预编译语句(PreparedStatement)的set注入参数(这也是为什么变成问号的原因) 3.会在sql加上' '单引号,所以会相对安全,不会有sql注入问题 4.支持基本数据类型(八大数据类型,包装类,BigDecimal等等) $ 1.$是字符串替换(是什么) 2.mybatis在处理$的时候,会将$的变量,原原本本的赋值到s
Mybatis使用#{} 和${} 的区别
努力奔赴未来
05-25 205
#{} 和{} 的区别 预编译 没有预编译 #{}与JDBC一样创建prearedStatement参数占位符并安全设置参数(就像使用 ? 一样),安全迅速,转义字符 ${} 采用的是字符串拼接参数的形式,不太安全,当传入参数为字段名,表名,排序方式,固定常量则可以使用。不转义字符串,有风险,同时存在sql注入,一般设置固定变量,例如字段名。 用 ${} 方式传入数据直接显示在生成的sql,且${}无法防止sql注入,${}一般用来传入数据库的对象,比如数据库表名 注意:mybatis排序的时候使用or
mybatis的两种传参方式#{}和{}原理
laughitover
08-28 5458
之前没注意,最近公司测试提了个bug, 问题:输入框输入单引号会报错, 原因:单引号截断了sql 总结:#{}速度快,能防止sql注入,是占位符方式,先预编译,然后填充参数,字符串格式,相当于填空题 用户名=(___),参数只是下划线上的内容           ${}是直接拼接到语句上,执行语句,对于上面那道填空题 ,这种方式需要自己拼括号和参数,但是也可以拼接想执行的任何语句,也就是
${}和#{}的区别
热门推荐
zouxucong的博客
10-17 5万+
mybatis${}和#{}区别
关于mybatis自动给参数加了双引号这件事
csdn_ycb的博客
04-20 2593
mybatis 传递参数时自动加上了双引号
【Mybatis】-mybatis传递参数时,会加上单引号
在这个充满危险的乱世之中,只有学会烤鸡才能顽强的活下去。
12-04 4904
一、项目描述 今天对项目进行改BUG的时候,遇到了一个查找数据的时候,总是不对,于是自己就开始DEBUG,但是发现传入的参数也都没有问题啊,所以想到不是代码的问题,那就是sql的问题。 于是我就跟着断点一步一步的走,发现sql语句好像也没有错,自己就查了查相关的知识。 二、解决方案 将#改成$符号 三、相关知识 (1)使用#{参数}传入会加上单引号,sql语句解析是会加上'', select * from table where name = #{name} 比如...
做一个简单的web项目,使用mbatis框架和tomacat servlet
05-21
好的,以下是一个简单的使用MyBatis框架和Tomcat Servlet的Web项目。 1. 首先,你需要下载并安装MyBatis和Tomcat Servlet。 2. 创建一个Maven项目,并将以下依赖项添加到pom.xml文件: ```xml <groupId>...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值