Mybatis #和$区别以及原理

最新推荐文章于 2024-06-05 20:55:01 发布
最新推荐文章于 2024-06-05 20:55:01 发布
阅读量4.5w 收藏 126
点赞数 20
分类专栏: Mybatis
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhangyong01245/article/details/90768156
版权

总结:

  1. #{ }可以防止Sql 注入,它会将所有传入的参数作为一个字符串来处理。
  2. $ {} 则将传入的参数拼接到Sql上去执行,一般用于表名和字段名参数,$ 所对应的参数应该由服务器端提供,前端可以用参数进行选择,避免 Sql 注入的风险

为什么?

  1. 为什么 # 和 $ 的作用不同,Mybatis 对他们做了哪些惨无人道的处理,我们看一下下面的例子,并追踪一下源码总结。

示例代码:

  1. 创建一个 tb_class 表(具体字段不做解释)。
  2. 创建一个 ClassDao.java 并使用注解的方式 ,tableName 代表查询的表,id代表主键 :
public interface ClassDao {
    /**
     * 测试 # 和 $ 符号区别
     * @param tableName 表名
     * @param id  主键
     * @return
     */
    @Select("select * from ${tableName} where class_id = #{id}")
    ClassInfo selectEntityByTableNameAndId(@Param("tableName") String tableName, @Param("id") Integer id);
}
  1. 创建一个Test 方法:
    @Test
    public void testMybatis() throws IOException {
        ClassInfo classInfo = classDao.selectEntityByTableNameAndId("tb_class", 1);
        System.err.println("classInfo : " + JSONObject.toJSONString(classInfo));
    }

源码分析:

  1. 看过代码的小伙伴应该知道, Mybatis 执行 入口是 DefaultSqlSession.selectOne()方法。我们Debug 启动 testMybatis()方法,并在 DefaultSqlSession.selectOne()添加断点,一行行执行Mybatis 代码:在这里插入图片描述

  2. 一步步向下走,当走到代码: org.apache.ibatis.executor.statement.PreparedStatementHandler#query方法时,可以看到 PreparedStatement 相信大家对这个应该不会陌生,预编译Sql并通过占位符的方式放置参数,现在 我们对比一下我们在 Dao 中的 sql : select * from ${tableName} where class_id = #{id}
    在这里插入图片描述
    如图所示,我们会发现, Mybatis 已经将 sql中 ${tableName} 替换成了 tb_class ,#{id} 也已经变成了 占位符 ?,生成了 Sql : select * from tb_class where class_id = ?。这已经是一目了然了,Mybaitis 封装了JDBC ,执行时会将我们注解 或 Mapper 中的 Sql 和参数进行处理,并交给 PreparedStatement 来执行。

  3. 至于Mybatis怎么修改的Sql 大家可以Debug追踪 org.apache.ibatis.mapping.BoundSql 中参数 sql 来理解。

以上是博主自己的理解与想法, 如有异议请大家留言,博主一定会第一时间解决
张井天
关注
  • 20
    点赞
  • 126
    收藏
    觉得还不错? 一键收藏
  • 9
    评论
专栏目录
mybatis学习文档
weixin_47356044的博客
08-29 2687
mybatis-9.28 环境: JDK1.8 mysql 8.0.16 maven3.6.1 IDEA 回顾: JDBC mysql jave基础 Maven junit 1.简介 1.1 什么是mybatismybatis是支持普通SQL查询、存储过程和高级映射的优秀持久层框架。 MyBatis 是一款优秀的持久层框架 支持自定义 SQL、存储过程以及高级映射 MyBatis 免除了几乎所有的 JDBC 代码以及设置参数和获取结果集的工作 MyBatis
MyBatis详解
热门推荐
CHENZULAN的博客
05-14 1万+
MyBatis 是一款优秀的持久层框架,它支持定制化 SQL、存储过程以及高级映射。MyBatis 避免了几乎所有的 JDBC 代码和手动设置参数以及获取结果集。MyBatis 可以使用简单的 XML 或注解来配置和映射原生信息,将接口和 Java 的 POJOs(Plain Ordinary Java Object,普通的 Java对象)映射成数据库中的记录。
mybatis中$和#的区别
y41992910的博客
09-21 2734
在mybatsi中, ${}会直接取值为string,直接写在SQL中。 #{}会表现为在SQL中一个占位符,然后取参数对应的值进行填充SQL ${}在动态解析的时候,会将我们传入的参数当做String字符串填充到我们的语句中,就会变成下面的语句 1.使用${}取值。会直接拼接到SQL中,而不会作为占位符 <!-- foreach实现动态update 这一节主要介绍当参数类型是...
MyBatis从零入门
m0_64260186的博客
06-05 1152
mybatis入门
MyBatis 中 #{} 和 ${} 的区别
liuyuinsdu的专栏
03-12 1210
1、在MyBatis 的映射配置文件中,动态传递参数有两种方式: (1)#{}占位符 (2)${}拼接符 2、#{}和${}的区别 (1) 1)#{}为参数占位符?,即sql 预编译 2)${}为字符串替换,即sql 拼接 (2) 1)#{}:动态解析 ->预编译-> 执行 2)${}:动态解析 ->编译-> 执行 (3) 1)#{}的变量替换是在DBMS中 2)${}的变量替换是在DBMS外 (4) 1)变量替换后,...
Mybatis中#{}和${}的用法
li_w_ch的博客
11-17 1万+
1、#{}将传入的数据当作一个字符串,会对传入的数据加上一个双引号。 比如, select * from student where student_name = #{studentName} 如果传入的值为xiaoming,那么解析成sql的值为student_name="xioming"。 2、${}将传入的数据直接显示生成在sql中。 如 : select ${fieldNmae} from student where student_age = 18 此时,传入的参数作为要查询的字
彻底搞懂MyBatis中${}和#{}
qq_63815371的博客
01-12 1166
目录 一、搭建模拟场景 二、SQL注入问题 三、#{}和${}的区别 四、#{}底层是如何防止SQL注入的? 五、那么问题来了:什么时候用#{},什么时候用${}呢? 一、搭建模拟场景 数据库数据 DAO接口 Mapper.xml 执行测试代码 package com.luck.bookstore.ware; import ... @RunWith(SpringRunner.class) @SpringBootTest public class Bo
浅谈Mybatis #和$区别以及原理
08-18
浅谈Mybatis #和$区别以及原理 Mybatis是一款流行的持久层框架,它提供了两个占位符:#和$,它们均用于参数化SQL语句,但是它们的作用和原理却有所不同,本文将详细介绍这两者的区别原理。 #和$的区别 在...
Spring整合Mybatis与SpringBoot整合Mybatis原理分析
04-16
**Spring整合Mybatis原理分析** 在Java Web开发中,Spring框架以其强大的依赖注入和面向切面编程能力,成为了事实上的核心框架。Mybatis则是一个轻量级的持久层框架,它简化了数据库操作,提供了直观的SQL映射。将...
关于MyBatis参数传入#{index}的问题的解决方案【源码】
05-22
在使用MyBatis进行数据库...理解MyBatis的参数处理机制以及预编译的原理,对于编写高效、安全的MyBatis代码至关重要。通过阅读和理解MyBatis的源码,可以更深入地掌握这些概念,以便在未来遇到类似问题时能够快速解决。
MyBatis接口的简单实现原理分析
08-30
MyBatis 接口的简单实现原理分析 MyBatis 是一个流行的 ORM(Object-Relational Mapping)框架,它提供了一个简单的方式来与数据库交互。在 MyBatis 中,Mapper 接口扮演着一个非常重要的角色,它用于定义数据库...
手写mybatis实现,剖析mybatis底层原理
最新发布
06-27
手写mybatis实现,剖析mybatis底层原理
mybatis中的#和$的区别?
gol_phing的博客
08-12 762
1. #将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by "111", 如果传入的值是id,则解析成的sql为order by "id".    2. $将传入的数据直接显示生成在sql中。如:order by $user_id$,如果传入的值是111,那么解析成sql时的值为
Mybatis中的#号与$符号的区别
小泽
04-05 1万+
1、#{变量名}可以进行预编译、类型匹配等操作, 2、#{变量名}会转化为jdbc的类型。 3、${变量名}不进行数据类型匹配,直接替换。 4、#方式能够很大程度防止sql注入。 5、$方式无法方式sql注入。 6、$方式一般用于传入数据库对象,例如传入表名。 7、尽量多用#方式,少用$方式。 8、#会自动加双引号,$不会加双引号 这两个符号在mybatis中最直接的区别就是:#相当于对数据 加上 单引号,$相当于直接显示数据(只讨论字符串类型的)。 1、#对传入的参数视为字符串,也就..
mybatis动态调用表名、字段名,只能使用${}
Marlboro8023的博客
04-01 1381
动态调用表名的例子: <select id="getUser" resultType="java.util.Map" parameterType="java.lang.String" statementType="STATEMENT"> select ${columns} from ${tableName} where COMPANY...
#与$的用法大杂烩
程序媛的博客
11-15 3266
#与$的用法大杂烩 欢迎指正 sql语句中 #与$似乎都与参数有关 那它们在使用时有什么区别,又有哪些细节需要特别注意呢 mysql非动态sql 简单的说在映射文件(就是java代码中写sql语句那个文件),它们都是在sql语句中用来动态的传入参数 #{}在sql语句中表示占位符,用来接收传入的值,做预编译处理 接收简单类型的值和引用类型(pojo),会给传入的值加一个双引号【※重点※】,能有效防止sql注入(SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,欺骗服务端执
Mybatis 中 $ 和 #千万不要乱用
嘻哈熊的专栏
08-02 792
2、${}: 主要用于获取配置文件数据, DAO 接口中的参数信息, 当 $ 出现在映射文件的 SQL 语句中时创建的不是预编译的 SQL, 而是字符串的拼接, 有可能会导致 SQL 注入问题. 所以一般使用 $ 接收 dao 参数时, 这些参数一般是字段名, 表名等, 例如 order by {column}。看了上面的区别介绍,相信大家其实都应该知道区别在哪里,我们的问题在哪里,其实就是 sql 在 in 的时候 ,里面的数据被加了两个双引号。所以导致部分数据查不到了。输出后,终于发现了问题在哪里。..
06MyBatis技巧(#{}和${}/)
m0_46671240的博客
01-12 903
CarMapper.xml,放在类的根路径下:注意namespace必须和接口名一致。id必须和接口中方法名一致。
mybatis使用#{}和${}的区别原理
felix
09-09 434
#{}号的含义 默认情况下,使用 #{} 参数语法时,MyBatis 会创建 PreparedStatement 参数占位符,sql预编译,并通过占位符安全地设置参数(就像使用 ? 一样)。 ${}号含义 ${ } 仅仅为一个纯碎的 string 替换,在动态 SQL 解析阶段将会进行变量替换 ${ } 的变量的替换阶段是在动态 SQL 解析阶段。 两者对比 (1) #{} 为参数占位符 ?,即sql 预编译 ${} 为字符串替换,即 sql 拼接 (2) #{}:动态解析 -> 预编
mybatis中#和$的区别
08-06
### 回答1: MyBatis 是一款开源的持久层框架,用于简化 Java 应用程序中数据存储层的开发。它使用简单的 XML 或注解配置和映射原语,将接口和 Java 的 POJO(Plain Old Java Object,普通 Java 对象)映射到数据库中的记录。MyBatis 避免了几乎所有的 JDBC 代码和手动设置参数以及获取结果集。MyBatis 可以使用简单的 XML 或注解来配置和映射原语,将接口和 Java 的 POJO 映射到数据库中的记录。 ### 回答2: MyBatis是一个开源的持久层框架,它可以与关系型数据库进行交互。在使用MyBatis时,我们需要定义一个映射文件,这个映射文件定义了数据库表与Java对象之间的映射关系。 在映射文件中,我们可以使用SQL语句来进行数据库的操作,包括增删改查等。MyBatis提供了丰富的标签来方便我们编写SQL语句,例如: - select标签用于查询操作,我们可以指定查询条件、排序方式等。 - insert标签用于插入操作,我们可以指定插入的字段和值。 - update标签用于更新操作,我们可以指定更新的字段和条件。 - delete标签用于删除操作,我们可以指定删除的条件。 除了上述标签外,MyBatis还提供了动态SQL的支持,可以根据不同的条件决定是否执行特定的SQL语句块。这使得我们可以灵活地构建复杂的SQL语句,满足各种需求。 在使用MyBatis时,我们需要配置数据源和SqlSessionFactory,数据源用于连接数据库,SqlSessionFactory用于创建SqlSession,通过SqlSession我们可以执行具体的SQL操作。 MyBatis还提供了事务管理的支持,可以确保数据库的一致性。我们可以通过配置来指定事务的隔离级别、提交方式等。 总的来说,MyBatis是一个功能强大、灵活易用的持久层框架,它可以帮助我们更加方便地进行数据库操作。无论是简单的查询还是复杂的多表关联,MyBatis都能提供满足需求的解决方案。 ### 回答3: MyBatis是一种功能强大的开源持久化框架,用于与关系型数据库进行交互。它提供了一种将 SQL 语句从代码中分离出来的方式,使得开发人员可以更好地管理和维护 SQL 语句。 MyBatis的工作原理是通过配置文件来绑定 Java 对象和数据库表,从而实现数据的增删改查操作。在配置文件中,我们可以定义各种 SQL 语句,并通过注解或xml方式将其与 Java 方法绑定起来。这样,我们就可以通过调用方法,来执行相应的 SQL 语句。 使用MyBatis时,我们首先需要配置数据源,并将其配置到MyBatis的配置文件中。在配置文件中,我们还可以配置一些 MyBatis 的全局属性,如类型别名、数据库方言等。 在代码中,我们可以通过编写相应的映射接口和映射文件来完成数据的访问。映射接口中的方法应该与映射文件中定义的 SQL 语句一一对应,通过调用方法来执行相应的 SQL 语句。 MyBatis还提供了强大的动态 SQL 支持,可以根据不同的条件生成不同的 SQL 语句。这样,我们就可以根据具体的业务需求动态地拼接 SQL 语句,从而提高 SQL 的灵活性和可复用性。 总的来说,MyBatis是一种简单易用、灵活高效的持久化框架,广泛应用于 Java EE 开发中。它能够帮助开发人员简化数据库访问的工作,并提升开发效率和系统性能。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 9
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值