最全!!! MyBatis的#{}和${}的区别和使用场景

已于 2023-07-18 18:38:49 修改
阅读量241 收藏
点赞数
文章标签: mybatis java mysql 数据库
于 2023-07-18 18:11:34 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhuozhuio/article/details/131792911
版权
  1. #{} 则是使用占位符的方式底层采用的是PreparedStatement,会预编译,因此不会产生SQL注入问题;
  2. #{}不会产生字符串拼接,${}会产生字符串拼接,因此${}会出现SQL注入问题;
  3. 变量替换后,#{} 对应的变量对于String类型会自动加上单引号 ‘’,其他类型不加;
  4. 因为#{} 对应的变量对于String类型会自动加上单引号 ‘’,所以在操作变量为表名或者字段名时 只能采用${}因为表名或者字段名不需要加单引号‘’;
  5. 类似上条规则,在order by下也只有可以用${} 不可以加单引号;
  6. 表名处用#{}会直接报错;列名处用#{}会查询不到数据;order by后面用#{}排序不生效
  7. 使用${}时,要注意何时加或不加单引号,即 ${}  '${}'。一般字段类型为char或者varchar时需要加单引号;
  8. 不论是单个参数,还是多个参数,一律都建议使用注解@Param(“”)
    当 SQL 语句中的元数据(如表名或列名)是动态生成的时候,字符串替换将会非常有用。 举个例子,如果你想 select 一个表任意一列的数据时,可以参考下方优化后的代码:
  9. //不好的写法
@Select("select * from user where id = #{id}")
User findById(@Param("id") long id);

@Select("select * from user where name = #{name}")
User findByName(@Param("name") String name);

@Select("select * from user where email = #{email}")
User findByEmail(@Param("email") String email);

//(推荐)归纳统一的写法 结合${}和#{}
@Select("select * from user where ${column} = #{value}")
User findByColumn(@Param("column") String column, @Param("value") String value);
卓@酌
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
mybatismybatis plus比较详解
03-21
# 1. 前言 本文旨在探讨在SpringBoot框架下,...MyBatis使用时需要开发者手动解析实体关系映射并转换为MyBatis内部对象注入容器,而MyBatis Plus则能够自动解析实体关系映射,并提供了内置的Mapper和通用的Service
开发实例:Spring Boot、MyBatis和Layui打造增删改查项目
05-24
使用场景和目标: 通过这个示例项目,您将掌握使用Spring Boot、MyBatis和Layui构建增删改查功能的技巧和最佳实践。您可以将所学应用到实际的Web应用程序开发中,提高开发效率并构建出功能完善、易于维护的项目。 ...
MyBatis 中 #{} 和 ${} 的区别
liuyuinsdu的专栏
03-12 1161
1、在MyBatis 的映射配置文件中,动态传递参数有两种方式: (1)#{}占位符 (2)${}拼接符 2、#{}和${}的区别 (1) 1)#{}为参数占位符?,即sql 预编译 2)${}为字符串替换,即sql 拼接 (2) 1)#{}:动态解析 ->预编译-> 执行 2)${}:动态解析 ->编译-> 执行 (3) 1)#{}的变量替换是在DBMS中 2)${}的变量替换是在DBMS外 (4) 1)变量替换后,...
MyBatis中的#{}和${}的用法
heliuerya的博客
06-15 2504
在实际开发中有些数据量非常大,需要分表存储,然后分表查询,比如:日志信息表基本上是每天一张表,现有多张日志信息表:log_20230101、log_20230102、log_20230103…比如:在查询某班全体学生并按照姓名按照升序/降序排列的sql语句中,当需要传入关键字asc"或"desc"的时候需要使用${}而不能使用#{},像这种需要传入。先进行sql语句拼接,然后再编译sql语句,底层是Statement实现。的sql语句需要使用${},其它情况需要使用#{},用来防止出现sql注入现象。
mybatis $ {} 和 # {}的区别,什么时候使用${}
qq_22075913的博客
10-26 2657
mybatis $ {} 和 # {}的区别,什么时候使用${} 动态sql是mybatis的主要特性之一。在mapper中定义的参数传到xml中之后,在查询之前mybatis对其进行动态解析。 mybatis提供了两种支持动态sql的语法:#{} 、${}。 select * from t_user where username = '${username}'; select * from t_user where username = #{username}; username传参一致的话,这两种
一文解惑mybatis中的#{}和${}
一个菜鸡的博客
07-19 3719
{}先编译sql语句,再给占位符传值,底层是PreparedStatement实现。可以防止sql注入,比较常用。${}先进行sql语句拼接,然后再编译sql语句,底层是Statement实现。存在sql注入现象。只有在需要进行sql语句关键字拼接的情况下才用到
彻底搞懂MyBaits中#{}和${}的区别
热门推荐
緑水長流*z
07-11 2万+
MyBatis的`#{}`之所以能够预防SQL注入是因为底层使用了`PreparedStatement`类的`setString()`方法来设置参数,此方法获取传递进来的参数的每个字符,然后进行循环对比,如果发现有敏感字符(如:单引号、双引号等),则在前面加上一个`'/'`代表转义此符号,让其变为一个普通的字符串,不参与SQL语句的生成,达到防止SQL注入的效果。 **其次`${}`本身设计的初衷就是为了参与SQL语句的语法生成**,自然而然导致SQL注入的问题(不考虑字符过滤问题)。
Mybatis使用${}和使用#{}
书启鸿蒙知秋枫
11-21 1967
Mybatis在对#{}进行预处理时,把#{}处理成占位符,实际执行的时候才把参数替换进去,相当于jdbc的PreparedStatement。上面这个配置实际打印出来的sql为这样有效的预防了sql注入。上面这个配置实际打印出来的sql为${} 则只是简单的字符串替换,在动态解析阶段,该 sql 语句直接将变量值替换进去,这样就有可能发生sql注入的风险。
基于Springboot和Mybatis的医院预约挂号系统设计源码
最新发布
04-16
本源码项目是基于Springboot和Mybatis的医院预约挂号系统设计,包含1301个文件,主要使用JavaJavaScript、CSS和HTML编程语言。该项目是一个医院预约挂号系统,旨在帮助医院更高效地管理预约挂号事务。系统提供了...
Spring Boot + Mybatis多数据源和动态数据源配置方法
08-28
最近做项目遇到这样的应用场景,项目需要同时连接两个不同的数据库A, B,并且它们都为主从架构,一台写库,多台读库。下面小编给大家带来了Spring Boot + Mybatis多数据源和动态数据源配置方法,需要的朋友参考下吧
Mybatis 如何防止 sql 注入?mybatis 拦截器了解过吗,应用场景是什么.txt|Mybatis 如何防止 sql 注入?mybatis 拦截器了解过吗,应用场景是什么.txt
09-05
Mybatis 如何防止 sql 注入?mybatis 拦截器了解过吗,应用场景是什么答案 Mybatis 如何防止 sql 注入?mybatis 拦截器了解过吗,应用场景是什么答案
Mybatis-占位符#{}和${}的使用说明
m0_37965811的博客
05-31 2251
1、占位符 #{}是占位符,${}是拼接符。 #{}将传入的数据都当成一个字符串,对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by “111”, 如果传入的值是id,则解析成的sql为order by “id”. ${}将传入的数据直接显示生成在sql中。如:order by ${user_id},如果传入的值是111,那么解析成sql时的值为order by 111, 如果传入的值是id,则解析成的sql为orde
Mybatis中的${}和#{}区别
web18484626332的博客
08-02 8575
动态sql是mybatis的主要特性之一,在mapper中定义的参数传到xml中之后,在查询之前,mybatis对其进行动态解析。mybatis为我们提供了两种支持动态sql的语法#{}以及${}提示以下是本篇文章正文内容,下面案例可供参考。...
使用#{}和${}的区别
quwenjing_blog
11-03 535
#{}和${}的区别 1.引入日志依赖 <!--log4j日志依赖--> <dependency> <groupId>log4j</groupId> <artifactId>log4j</artifactId> <version>1.2.17</version> </dependen...
spring项目中sql语句:#{}与¥{}的使用
m0_46043168的博客
10-07 1253
首先要了解两者区别: select * from user where name = #{name}被解析为select * from user where name = ? 可以看到#{}是作为一个参数占位符被使用。 而¥{}则是直接字符拼接: select * from user where name = ${name}; 当我们传递参数“sprite”时,sql解析为:select * from user where name = "sprite"; 下面有两个实例:
SASS 插值语句 #{ }的使用
8号专栏
08-08 486
插值语法在使用中还是非常方便的,但有些情况不能使用,但不代表后续不能使用,具体情况根据当前使用的版本来,有可能现目前版本不支持的情况,后续版本可能支持。关于sass插件语法#{}的使用就介绍到这里,更多教程请关注“老姚实战营”!...
mybatis中#{}和${}的区别使用场景
Syntacticsugar's blog
09-05 7072
mybatis的  mapper.xml中,首先说下使用场景: #{ }  :#代表占位符,用来传递参数; ${ }  :$用来拼接sql 语句的;譬如:把数据库中的表名作为参数拼接在 sql 语句中,必须使用 $    mapper接口; //@Param 注解的作用如下 //mapper接口中 ,给String tableName参数 起个名字叫tableName1 // 这样m...
Mybatis使用#{}和使用${}的区别
技术小学僧的博客
01-10 914
1、#{}     1.1、使用预编译的语句,即底层使用JDBC的PreparedStatement占位符?     1.2、可以防止sql注入 2、${}     2.1、底层使用Statement ,字符串拼接。可能有SQL注入。     2.2、写在${}里面的内容必须有get方法     2.3、如果${数字} 认为这个位置就是数字     2.4、${} 适用于参数是...
mybatis中#{}与${}的差别(如何防止sql注入)
E=mc²
04-24 1万+
默认情况下,使用#{}语法,MyBatis产生PreparedStatement语句中,并且安全的设置PreparedStatement参数,这个过程中MyBatis进行必要的安全检查和转义。 #相当于对数据 加上 双引号,$相当于直接显示数据 示例1: 执行SQL:select * from emp where name = #{employeeName} 参数:employeeNa
mybatis #{} 和${}使用场景
08-24
- *1* *2* [Mybatis #和$获取参数值的区别以及@param的使用场景](https://blog.csdn.net/Tom098/article/details/103381901)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

卓@酌

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值