Mybatis #和$区别以及原理

最新推荐文章于 2024-05-26 16:37:28 发布
最新推荐文章于 2024-05-26 16:37:28 发布
阅读量4.5w 收藏 126
点赞数 20
分类专栏: Mybatis
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhangyong01245/article/details/90768156
版权

总结:

  1. #{ }可以防止Sql 注入,它会将所有传入的参数作为一个字符串来处理。
  2. $ {} 则将传入的参数拼接到Sql上去执行,一般用于表名和字段名参数,$ 所对应的参数应该由服务器端提供,前端可以用参数进行选择,避免 Sql 注入的风险

为什么?

  1. 为什么 # 和 $ 的作用不同,Mybatis 对他们做了哪些惨无人道的处理,我们看一下下面的例子,并追踪一下源码总结。

示例代码:

  1. 创建一个 tb_class 表(具体字段不做解释)。
  2. 创建一个 ClassDao.java 并使用注解的方式 ,tableName 代表查询的表,id代表主键 :
public interface ClassDao {
    /**
     * 测试 # 和 $ 符号区别
     * @param tableName 表名
     * @param id  主键
     * @return
     */
    @Select("select * from ${tableName} where class_id = #{id}")
    ClassInfo selectEntityByTableNameAndId(@Param("tableName") String tableName, @Param("id") Integer id);
}
  1. 创建一个Test 方法:
    @Test
    public void testMybatis() throws IOException {
        ClassInfo classInfo = classDao.selectEntityByTableNameAndId("tb_class", 1);
        System.err.println("classInfo : " + JSONObject.toJSONString(classInfo));
    }

源码分析:

  1. 看过代码的小伙伴应该知道, Mybatis 执行 入口是 DefaultSqlSession.selectOne()方法。我们Debug 启动 testMybatis()方法,并在 DefaultSqlSession.selectOne()添加断点,一行行执行Mybatis 代码:在这里插入图片描述

  2. 一步步向下走,当走到代码: org.apache.ibatis.executor.statement.PreparedStatementHandler#query方法时,可以看到 PreparedStatement 相信大家对这个应该不会陌生,预编译Sql并通过占位符的方式放置参数,现在 我们对比一下我们在 Dao 中的 sql : select * from ${tableName} where class_id = #{id}
    在这里插入图片描述
    如图所示,我们会发现, Mybatis 已经将 sql中 ${tableName} 替换成了 tb_class ,#{id} 也已经变成了 占位符 ?,生成了 Sql : select * from tb_class where class_id = ?。这已经是一目了然了,Mybaitis 封装了JDBC ,执行时会将我们注解 或 Mapper 中的 Sql 和参数进行处理,并交给 PreparedStatement 来执行。

  3. 至于Mybatis怎么修改的Sql 大家可以Debug追踪 org.apache.ibatis.mapping.BoundSql 中参数 sql 来理解。

以上是博主自己的理解与想法, 如有异议请大家留言,博主一定会第一时间解决
张井天
关注
  • 20
    点赞
  • 126
    收藏
    觉得还不错? 一键收藏
  • 9
    评论
专栏目录
mybatis学习文档
weixin_47356044的博客
08-29 2694
mybatis-9.28 环境: JDK1.8 mysql 8.0.16 maven3.6.1 IDEA 回顾: JDBC mysql jave基础 Maven junit 1.简介 1.1 什么是mybatismybatis是支持普通SQL查询、存储过程和高级映射的优秀持久层框架。 MyBatis 是一款优秀的持久层框架 支持自定义 SQL、存储过程以及高级映射 MyBatis 免除了几乎所有的 JDBC 代码以及设置参数和获取结果集的工作 MyBatis
MyBatis详解
热门推荐
CHENZULAN的博客
05-14 1万+
MyBatis 是一款优秀的持久层框架,它支持定制化 SQL、存储过程以及高级映射。MyBatis 避免了几乎所有的 JDBC 代码和手动设置参数以及获取结果集。MyBatis 可以使用简单的 XML 或注解来配置和映射原生信息,将接口和 Java 的 POJOs(Plain Ordinary Java Object,普通的 Java对象)映射成数据库中的记录。
mybatis中$和#的区别
y41992910的博客
09-21 2734
在mybatsi中, ${}会直接取值为string,直接写在SQL中。 #{}会表现为在SQL中一个占位符,然后取参数对应的值进行填充SQL ${}在动态解析的时候,会将我们传入的参数当做String字符串填充到我们的语句中,就会变成下面的语句 1.使用${}取值。会直接拼接到SQL中,而不会作为占位符 <!-- foreach实现动态update 这一节主要介绍当参数类型是...
MyBatis详细教程!!(入门版)
ii804070359的博客
05-26 778
MyBatis是一款持久层框架,用于简化JDBC开发持久层:持久化操作的层,通常指数据访问层(DAO),是用来操作数据库的。
MyBatis 中 #{} 和 ${} 的区别
liuyuinsdu的专栏
03-12 1214
1、在MyBatis 的映射配置文件中,动态传递参数有两种方式: (1)#{}占位符 (2)${}拼接符 2、#{}和${}的区别 (1) 1)#{}为参数占位符?,即sql 预编译 2)${}为字符串替换,即sql 拼接 (2) 1)#{}:动态解析 ->预编译-> 执行 2)${}:动态解析 ->编译-> 执行 (3) 1)#{}的变量替换是在DBMS中 2)${}的变量替换是在DBMS外 (4) 1)变量替换后,...
Mybatis中#{}和${}的用法
li_w_ch的博客
11-17 1万+
1、#{}将传入的数据当作一个字符串,会对传入的数据加上一个双引号。 比如, select * from student where student_name = #{studentName} 如果传入的值为xiaoming,那么解析成sql的值为student_name="xioming"。 2、${}将传入的数据直接显示生成在sql中。 如 : select ${fieldNmae} from student where student_age = 18 此时,传入的参数作为要查询的字
彻底搞懂MyBatis中${}和#{}
qq_63815371的博客
01-12 1167
目录 一、搭建模拟场景 二、SQL注入问题 三、#{}和${}的区别 四、#{}底层是如何防止SQL注入的? 五、那么问题来了:什么时候用#{},什么时候用${}呢? 一、搭建模拟场景 数据库数据 DAO接口 Mapper.xml 执行测试代码 package com.luck.bookstore.ware; import ... @RunWith(SpringRunner.class) @SpringBootTest public class Bo
浅谈Mybatis #和$区别以及原理
08-18
浅谈Mybatis #和$区别以及原理 Mybatis是一款流行的持久层框架,它提供了两个占位符:#和$,它们均用于参数化SQL语句,但是它们的作用和原理却有所不同,本文将详细介绍这两者的区别原理。 #和$的区别 在...
Spring整合Mybatis与SpringBoot整合Mybatis原理分析
04-16
**Spring整合Mybatis原理分析** 在Java Web开发中,Spring框架以其强大的依赖注入和面向切面编程能力,成为了事实上的核心框架。Mybatis则是一个轻量级的持久层框架,它简化了数据库操作,提供了直观的SQL映射。将...
关于MyBatis参数传入#{index}的问题的解决方案【源码】
05-22
在使用MyBatis进行数据库...理解MyBatis的参数处理机制以及预编译的原理,对于编写高效、安全的MyBatis代码至关重要。通过阅读和理解MyBatis的源码,可以更深入地掌握这些概念,以便在未来遇到类似问题时能够快速解决。
MyBatis接口的简单实现原理分析
08-30
MyBatis 接口的简单实现原理分析 MyBatis 是一个流行的 ORM(Object-Relational Mapping)框架,它提供了一个简单的方式来与数据库交互。在 MyBatis 中,Mapper 接口扮演着一个非常重要的角色,它用于定义数据库...
手写mybatis实现,剖析mybatis底层原理
最新发布
06-27
手写mybatis实现,剖析mybatis底层原理
mybatis-plus 实践及架构原理
12-25
mybatis-plus 实践及架构原理mybatis-plus 实践及架构原理
mybatis原理.xmind
06-09
该思维导图主要是对MyBatis原理知识进行了整理,通过对底层的分析,能够实现手写一个实现核心功能的简单MyBats,内容包括MyBatis整体架构和流程的分析、SQL的解析过程、手写解析流程、手写执行流程、看源码、MyBatis...
MyBatis 工作原理和详解
09-29
MyBatis的框架运行原理主要包括以下几个关键组件: 1. SqlMapConfig.xml:这是MyBatis的全局配置文件,其中配置了数据源、事务管理等运行环境。这里还可以引入多个映射文件,每个映射文件代表一个Mapper。 2. ...
mybatis原理概述入门教程
09-01
MyBatis是一个强大的持久层框架,它旨在简化Java应用程序与数据库之间的交互,通过XML或注解的方式将SQL语句和Java对象映射起来。MyBatis最初是Apache的开源项目iBatis,后来转移到Google Code并更名为MyBatis,最后...
mybatis中的#和$的区别?
gol_phing的博客
08-12 765
1. #将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by "111", 如果传入的值是id,则解析成的sql为order by "id".    2. $将传入的数据直接显示生成在sql中。如:order by $user_id$,如果传入的值是111,那么解析成sql时的值为
Mybatis中的#号与$符号的区别
小泽
04-05 1万+
1、#{变量名}可以进行预编译、类型匹配等操作, 2、#{变量名}会转化为jdbc的类型。 3、${变量名}不进行数据类型匹配,直接替换。 4、#方式能够很大程度防止sql注入。 5、$方式无法方式sql注入。 6、$方式一般用于传入数据库对象,例如传入表名。 7、尽量多用#方式,少用$方式。 8、#会自动加双引号,$不会加双引号 这两个符号在mybatis中最直接的区别就是:#相当于对数据 加上 单引号,$相当于直接显示数据(只讨论字符串类型的)。 1、#对传入的参数视为字符串,也就..
mybatis动态调用表名、字段名,只能使用${}
Marlboro8023的博客
04-01 1381
动态调用表名的例子: <select id="getUser" resultType="java.util.Map" parameterType="java.lang.String" statementType="STATEMENT"> select ${columns} from ${tableName} where COMPANY...
mybatis中#和$的区别
08-06
MyBatis 避免了几乎所有的 JDBC 代码和手动设置参数以及获取结果集。MyBatis 可以使用简单的 XML 或注解来配置和映射原语,将接口和 Java 的 POJO 映射到数据库中的记录。 ### 回答2: MyBatis是一个开源的持久层...
评论 9
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值