Mbatis 的#{}和¥{}说明:

最新推荐文章于 2023-08-27 20:58:57 发布
最新推荐文章于 2023-08-27 20:58:57 发布
阅读量1.4k 收藏
点赞数
分类专栏: Mybatis
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/za10056108/article/details/52638595
版权

关于:Mbatis 访问数据的#{}和¥{}说明:

亲身体验,并不是#对所有的数据都默认加引号

如果传入的是字符串类型数据 参数用#{}访问就会加引号;如果不是则不会加引号(如下面例子的的Long类型)

当然#能防止注入攻击
MyBatis排序时使用order by 动态参数时需要注意,用$而不是#

以下例子是用ibatis(mybatis同理,访问格式不同而已(ibatis#参数#,mybatis#{} ))

 /**
     * 如果说插入的参数是数值类型的,#映射不会加上'';这时候如果数据库里的对应字段是字符类型,且存在字符数据的时候;就会报错;
     * 所以一般我们还是需要数据库类型和参数类型对应
     * @param registerNo
     * @return
     */
    public Long getFarePublishByRegisterNoAndType(Long registerNo,String registerType){
        Long baseFareId = null;
        try{
            Map<String,Object> params = new HashMap<String, Object>();
            params.put("registerNo", registerNo);//参数数值型;#访问不会加''
            params.put("registerType", registerType);
            baseFareId = (Long)getSqlMapRepository().queryByObject("getBaseFareInterByRegisterNoAndType",params);
        } catch (Exception a) {
            a.printStackTrace();
        }
        return baseFareId;
    }

sql是这样的:其中DISPLAY_NO在数据库里是varchar2类型;传入的registerNo是Long类型

<select id="getBaseFareInterByRegisterNoAndType" parameterClass="java.util.HashMap" resultClass="java.lang.Long">
        <![CDATA[ SELECT T.ID FROM T_BASE_FARE_INTER T WHERE T.DISPLAY_NO=#registerNo# AND T.FARE_TYPE=#registerType# ]]>
    </select>

由于插入的参数registerNo 是数值类型的,#映射不会加上”;所以如果存在一条 DISPLAY_NO 字段非数值型数据的记录,就会报错

解决方法:

  • 我们应该尽量保存数据库中字段类型和参数类型对应;
public Long getFarePublishByRegisterNoAndType(Long registerNo,String registerType){
        Long baseFareId = null;
        try{
            Map<String,Object> params = new HashMap<String, Object>();
            params.put("registerNo", registerNo.toString());//参数字符型;#访问会加''
            params.put("registerType", registerType);
            baseFareId = (Long)getSqlMapRepository().queryByObject("getBaseFareInterByRegisterNoAndType",params);
        } catch (Exception a) {
            a.printStackTrace();
        }
        return baseFareId;
    }
  • 显示加引号
<select id="getBaseFareInterByRegisterNoAndType" parameterClass="java.util.HashMap" resultClass="java.lang.Long">
        <![CDATA[ SELECT T.ID FROM T_BASE_FARE_INTER T WHERE T.DISPLAY_NO='$registerNo$' AND T.FARE_TYPE=#registerType# ]]>
    </select>
Nano小蛋卷
关注
专栏目录
mybatis-plus入门教程!看完必懂!超详细解析!
Viper的程序员修炼手册
10-28 2716
前言: mybatis在持久层框架还是比较火的,一般项目都是基于ssm。虽然mybatis可以直接在xml通过SQL语句操作数据库,很是灵活。但正其操作都要通过SQL语句进行,就必须写大量的xml文件,很是麻烦。mybatis-plus就很好的解决了这个问题。 一、mybatis-plus简介: Mybatis-Plus(简称MP)是一个 Mybatis 的增强工具,在 Mybatis 的基础上只做增强不做改变,为简化开发、提高效率而生。这是官方给的定义,关于mybatis-plus的更多介绍及特性,
Mybatis的SerializedCache(序列化和反序列化)
weixin_44903465的博客
03-03 1345
Mybatis缓存的配置 readOnly属性可以设置为true或false。只读缓存将把缓存对象的相同实例返回给所有调用者。因此,不应修改此类对象。但是,这提供了显着的性能优势。读写缓存将返回(通过序列化)缓存对象的副本。这比较慢,但更安全,因此默认值为false。 readOnly=true是读缓存,readOnly=false是写缓存 默认如下 自定义配置如下 SerializedCa...
#{}和{}的区别?
weixin_55555593的博客
06-08 1776
mybatis#{}和{}的区别
#{}和{}的区别
weixin_44451005的博客
10-14 3721
实例: #{}的情况: select name form student where age=#{studentAge}; 参数studentAge=18 编译后 select name form student where age=?; ${}的情况: select name form student where age=${studentAge}; 参数studentAge=18 编译后 select name form student where age=18; 说明: 由上面的实例可见 1.
面试题:Mybatis#{}和${}的区别
天上掉下两毛钱
02-23 1274
#{}和${}的区别是什么? #{}是预编译处理,${}是字符串替换。 Mybatis在处理#{}时,会将sql的#{}替换为?号,调用PreparedStatement的set方法来赋值; Mybatis在处理${}时,就是把${}替换成变量的值。 使用#{}可以有效的防止SQL注入,提高系统安全性。 ...
Mybatis#{}与{}的区别与联系
最新发布
qq_44788380的博客
08-27 523
Mybatis#{}与{}的区别与联系
【Mybatis{}域#{}的区别】
weixin_71307869的博客
06-20 1161
#{}是预编译处理,${}是字符串替换。 详情:(1)mybatis在处理#{}时,会将sql的#{}替换为?号,调用PreparedStatement的set方法来赋值。(2)mybatis在处理时 , 就 是 把 {}时,就是把时,就是把{}替换成变量的值。(3)使用#{}可以有效的防止SQL注入,提高系统安全性。原因在于:预编译机制。预编译完成之后,SQL的结构已经固定,即便用户输入非法参数,也不会对SQL的结构产生影响,从而避免了潜在的安全风险。(4)预编译是提前对SQL语句进行预编译,而其后注入
platform-test.zip
05-17
以下是对该项目涉及的技术和知识点的详细说明: 1. **Spring Boot**: Spring Boot是Spring框架的扩展,简化了Java Web应用程序的开发过程。它集成了许多默认配置,允许开发者无需过多的配置就能创建独立运行的...
MyBatis 查询数据库
m0_67402013的博客
07-28 557
MyBatis是一款优秀的持久层框架,它支持自定义SQL、存储过程以及高级映射。MyBatis去除了几乎所有的JDBC代码以及设置参数和获取结果集的工作。MyBatis可以通过简单的XML或注解来配置和映射原始类型、接口和JavaPOJO(PlainOldJavaObjects,普通老式Java对象)为数据库的记录。简单来说MyBatis是更简单完成程序和数据库交互的工具,也就是更简单的操作和读取数据库工具。...
Mybatis的#{}占位符和{}拼接符的区别
qq_41584510的博客
08-26 1098
#{}占位符:占位 如果传入的基本数据类型,那么#{}的变量名称可以随意写 如果传入的参数是POJO类型,那么#{}的变量名称必须是POJO的属性 {}拼接符:字符串原样拼接如果传入的是基本数据类型,那么{}拼接符:字符串原样拼接 如果传入的是基本数据类型,那么{}拼接符:字符串原样拼接如果传入的是基本数据类型,那么{}的变量名必须是value 如果传入的参数是POJO类型,那么${}的...
#{}和${}
m1234ilu的博客
11-06 723
#{}表示一个占位符号,通过#{}可以实现preparedStatement向占位符设置值,自动进行java类型和jdbc类型转换。#{}可以有效防止sql注入。 #{}可以接收简单类型值或pojo属性值。 如果parameterType传输单个简单类型值,#{}括号可以是value或其它名称。 ${}表示拼接sql串,通过${}可以将parameterType 传入的内容拼接在sql且不...
MBatis# $的区别
dzbxq89的博客
02-25 463
使用#时不指定类型时会自动认为是varchar类型即使用时会自动加上‘ ’,使用$时会认为是对象而不是字符串。即不会自动加上‘ ’。重构项目,需求很多需要根据id,进行查询。mybatis提供一种方式  #{item} 要查询的集合放到collection后即可。结果为(元素1,元素2,,元素n)。item为list元素的结果。 另一种方式是 in(“$对象名”)      这种使用
#{}和${}的区别
weixi_app的博客
05-28 3643
一相同点 都可以获取map或者JavaBean的信息 二不同点 # 1.#是预编译处理(是什么) 2.mybatis在处理#的时候,会将sql的#{}替换为?号,调用预编译语句(PreparedStatement)的set注入参数(这也是为什么变成问号的原因) 3.会在sql加上' '单引号,所以会相对安全,不会有sql注入问题 4.支持基本数据类型(八大数据类型,包装类,BigDecimal等等) $ 1.$是字符串替换(是什么) 2.mybatis在处理$的时候,会将$的变量,原原本本的赋值到s
Mybatis #{}和${}的区别是什么?
lcb1424556301的博客
02-17 276
1.#{}是预编译处理、是占位符,${}是字符串替换、是拼接符 2. Mybatis 在处理#{}时,会将 sql 的#{}替换为?号,调用 PreparedStatement 来赋值 3. Mybatis 在处理${}时,就是把${}替换成变量的值,调用 Statement 来赋值 4.使用#{}可以有效的防止 SQL 注入,提高系统安全性。
Mybatis使用#{} 和${} 的区别
努力奔赴未来
05-25 222
#{} 和{} 的区别 预编译 没有预编译 #{}与JDBC一样创建prearedStatement参数占位符并安全设置参数(就像使用 ? 一样),安全迅速,转义字符 ${} 采用的是字符串拼接参数的形式,不太安全,当传入参数为字段名,表名,排序方式,固定常量则可以使用。不转义字符串,有风险,同时存在sql注入,一般设置固定变量,例如字段名。 用 ${} 方式传入数据直接显示在生成的sql,且${}无法防止sql注入,${}一般用来传入数据库的对象,比如数据库表名 注意:mybatis排序的时候使用or
mybatis的两种传参方式#{}和{}原理
laughitover
08-28 5478
之前没注意,最近公司测试提了个bug, 问题:输入框输入单引号会报错, 原因:单引号截断了sql 总结:#{}速度快,能防止sql注入,是占位符方式,先预编译,然后填充参数,字符串格式,相当于填空题 用户名=(___),参数只是下划线上的内容           ${}是直接拼接到语句上,执行语句,对于上面那道填空题 ,这种方式需要自己拼括号和参数,但是也可以拼接想执行的任何语句,也就是
${}和#{}的区别
热门推荐
zouxucong的博客
10-17 5万+
mybatis${}和#{}区别
关于mybatis自动给参数加了双引号这件事
csdn_ycb的博客
04-20 2914
mybatis 传递参数时自动加上了双引号
做一个简单的web项目,使用mbatis框架和tomacat servlet
05-21
好的,以下是一个简单的使用MyBatis框架和Tomcat Servlet的Web项目。 1. 首先,你需要下载并安装MyBatis和Tomcat Servlet。 2. 创建一个Maven项目,并将以下依赖项添加到pom.xml文件: ```xml <dependencies> <dependency> <groupId>javax.servlet</groupId> <artifactId>servlet-api</artifactId> <version>2.5</version> <scope>provided</scope> </dependency> <dependency> <groupId>org.mybatis</groupId> <artifactId>mybatis</artifactId> <version>3.4.5</version> </dependency> <dependency> <groupId>mysql</groupId> <artifactId>mysql-connector-java</artifactId> <version>5.1.38</version> </dependency> </dependencies> ``` 3. 在src/main/resources目录下创建一个mybatis-config.xml文件,配置MyBatis框架。 ```xml <?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE configuration PUBLIC "-//mybatis.org//DTD Config 3.0//EN" "http://mybatis.org/dtd/mybatis-3-config.dtd"> <configuration> <environments default="development"> <environment id="development"> <transactionManager type="JDBC" /> <dataSource type="POOLED"> <property name="driver" value="com.mysql.jdbc.Driver" /> <property name="url" value="jdbc:mysql://localhost:3306/test" /> <property name="username" value="root" /> <property name="password" value="root" /> </dataSource> </environment> </environments> <mappers> <mapper resource="mapper/UserMapper.xml" /> </mappers> </configuration> ``` 这里的配置是使用MySQL数据库,你需要根据自己的情况进行修改。 4. 在src/main/java目录下创建一个Servlet类,用于处理HTTP请求。 ```java import java.io.IOException; import java.io.PrintWriter; import java.util.List; import javax.servlet.ServletException; import javax.servlet.annotation.WebServlet; import javax.servlet.http.HttpServlet; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; import org.apache.ibatis.session.SqlSession; import org.apache.ibatis.session.SqlSessionFactory; import org.apache.ibatis.session.SqlSessionFactoryBuilder; @WebServlet("/user") public class UserServlet extends HttpServlet { private static final long serialVersionUID = 1L; public void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException { SqlSessionFactory factory = new SqlSessionFactoryBuilder() .build(UserServlet.class.getResourceAsStream("/mybatis-config.xml")); SqlSession session = factory.openSession(); List<User> users = session.selectList("UserMapper.getAllUsers"); PrintWriter out = response.getWriter(); out.println("<html>"); out.println("<body>"); out.println("<h1>Users</h1>"); out.println("<ul>"); for (User user : users) { out.println("<li>" + user.getName() + "</li>"); } out.println("</ul>"); out.println("</body>"); out.println("</html>"); session.close(); } } ``` 这个Servlet类会查询数据库的所有用户,并将它们显示在网页上。 5. 在src/main/java目录下创建一个User类,用于表示用户对象。 ```java public class User { private int id; private String name; private String email; public int getId() { return id; } public void setId(int id) { this.id = id; } public String getName() { return name; } public void setName(String name) { this.name = name; } public String getEmail() { return email; } public void setEmail(String email) { this.email = email; } } ``` 6. 在src/main/resources/mapper目录下创建一个UserMapper.xml文件,用于定义SQL语句和映射关系。 ```xml <?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE mapper PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN" "http://mybatis.org/dtd/mybatis-3-mapper.dtd"> <mapper namespace="UserMapper"> <select id="getAllUsers" resultType="User"> SELECT * FROM users </select> </mapper> ``` 这个文件定义了一个getAllUsers查询,它会返回所有用户对象。 7. 最后,在Tomcat运行这个Web项目。你可以使用以下命令打包项目: ``` mvn clean package ``` 然后将target目录下生成的.war文件复制到Tomcat的webapps目录下,并启动Tomcat服务器。 现在你可以在浏览器访问http://localhost:8080/你的项目名/user,就会看到所有用户的列表了。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值