最全!!! MyBatis的#{}和${}的区别和使用场景

已于 2023-07-18 18:38:49 修改
阅读量309 收藏
点赞数
文章标签: mybatis java mysql 数据库
于 2023-07-18 18:11:34 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhuozhuio/article/details/131792911
版权
  1. #{} 则是使用占位符的方式底层采用的是PreparedStatement,会预编译,因此不会产生SQL注入问题;
  2. #{}不会产生字符串拼接,${}会产生字符串拼接,因此${}会出现SQL注入问题;
  3. 变量替换后,#{} 对应的变量对于String类型会自动加上单引号 ‘’,其他类型不加;
  4. 因为#{} 对应的变量对于String类型会自动加上单引号 ‘’,所以在操作变量为表名或者字段名时 只能采用${}因为表名或者字段名不需要加单引号‘’;
  5. 类似上条规则,在order by下也只有可以用${} 不可以加单引号;
  6. 表名处用#{}会直接报错;列名处用#{}会查询不到数据;order by后面用#{}排序不生效
  7. 使用${}时,要注意何时加或不加单引号,即 ${}  '${}'。一般字段类型为char或者varchar时需要加单引号;
  8. 不论是单个参数,还是多个参数,一律都建议使用注解@Param(“”)
    当 SQL 语句中的元数据(如表名或列名)是动态生成的时候,字符串替换将会非常有用。 举个例子,如果你想 select 一个表任意一列的数据时,可以参考下方优化后的代码:
  9. //不好的写法
@Select("select * from user where id = #{id}")
User findById(@Param("id") long id);

@Select("select * from user where name = #{name}")
User findByName(@Param("name") String name);

@Select("select * from user where email = #{email}")
User findByEmail(@Param("email") String email);

//(推荐)归纳统一的写法 结合${}和#{}
@Select("select * from user where ${column} = #{value}")
User findByColumn(@Param("column") String column, @Param("value") String value);
卓@酌
关注
Mybatis中#{}和${}的用法
li_w_ch的博客
11-17 1万+
1、#{}将传入的数据当作一个字符串,会对传入的数据加上一个双引号。 比如, select * from student where student_name = #{studentName} 如果传入的值为xiaoming,那么解析成sql的值为student_name="xioming"。 2、${}将传入的数据直接显示生成在sql中。 如 : select ${fieldNmae} from student where student_age = 18 此时,传入的参数作为要查询的字
MyBatis #{} ${}
weixin_43014205的博客
01-09 1395
#{} 示一个占位符号 自动进行java类型和jdbc类型转换 可以有效防止SQL注入 可以接受简单类型或者pojo属性值 如果parameterType传输单个数据类型,#{}括号中可以是value或其他名称   SELECT * FROM `customer` where cust_name like '%#{value}%';  SELECT * FROM `custom...
彻底搞懂MyBaits中#{}和${}的区别
热门推荐
緑水長流*z
07-11 2万+
MyBatis的`#{}`之所以能够预防SQL注入是因为底层使用了`PreparedStatement`类的`setString()`方法来设置参数,此方法会获取传递进来的参数的每个字符,然后进行循环对比,如果发现有敏感字符(如:单引号、双引号等),则会在前面加上一个`'/'`代转义此符号,让其变为一个普通的字符串,不参与SQL语句的生成,达到防止SQL注入的效果。 **其次`${}`本身设计的初衷就是为了参与SQL语句的语法生成**,自然而然会导致SQL注入的问题(不会考虑字符过滤问题)。
MyBatis中${}的用法
jushisi的博客
08-27 5769
参考: https://blog.csdn.net/weixin_44142296/article/details/96436951 ‘${}’ 传列名,使用聚合函数 t_user有如下4 个字段:id 、name、 age 、 consume_amt 如果需求是有时候是要age的平均数, 有的是consume_amt的平均数,那么可以把列传到SQL中查询。如下: mapper.xml <select id="getAvg" parameterType="java.lang.Strin.
Mybatis使用${}和使用#{}
站在墙头上的博客
03-11 7045
Mybatis中${}和#{}的区别1、使用#{}2、使用${}3、总结 印象中一直认为使用Mybatis肯定能防止sql注入,前两天才发现我太天真了。防止sql注入也是有条件的,这我们就要了解下Mybatis中${}和#{}的使用了。 1、使用#{} Mybatis在对#{}进行预处理时,会把#{}处理成占位符,实际执行的时候才会把参数替换进去,相当于jdbc的PreparedStatement...
一文解惑mybatis中的#{}和${}
一个菜鸡的博客
07-19 5857
{}先编译sql语句,再给占位符传值,底层是PreparedStatement实现。可以防止sql注入,比较常用。${}先进行sql语句拼接,然后再编译sql语句,底层是Statement实现。存在sql注入现象。只有在需要进行sql语句关键字拼接的情况下才会用到。
浅谈Mybatis #和$区别以及原理
08-18
浅谈Mybatis #和$区别以及原理 Mybatis是一款流行的持久层框架,它提供了两个占位符:#和$,它们均用于参数化SQL...通过上面的分析,我们可以看到,Mybatis对#和$的处理机制是不同的,它们的使用场景和风险也不同。
浅谈mybatis中的#和$的区别
09-02
MyBatis中,`#`和`$`是用来动态构造SQL语句的占位符,它们的区别主要在于SQL预编译和防止SQL注入的能力。理解这两种符号的用法对于编写安全、高效的MyBatis映射文件至关重要。 1. `#`占位符: - `#`将传入的数据...
mybatis中${}与#{}的区别,以及应用场景
qwq1518346864的博客
05-14 351
1. ${}相当于直接显示数据,预编译的时候示拼接sql字符串。 ${attribute} 属于字符串拼接SQL,而非预编译占位符,会有注入攻击问题,不建议在常规SQL中使用,常用于可解决动态生降序问题。 public List<User> selectAllUsers1(User user); // ${name} ${id} 可获取user中的属性值 public List<User> selectAllUsers2(@Param("rule") String rule)
详解mybatis #{}和${}的区别、传参、基本语法
08-18
MyBatis中#{}和${}的区别、传参、基本语法 MyBatis是一个基于Java的持久层框架,它提供了一个强大的...MyBatis中#{}和${}的区别、传参、基本语法是非常重要的概念,需要详细了解和掌握,以便更好地使用MyBatis框架。
mybatis中${}、 #{}区别及应用场景
f45056231p的博客
03-27 797
mybatis中${}、 #{}区别及应用场景 滚滚大肥猫 关注 2017.10.12 13:32* 字数 885 阅读 523评论 0喜欢 2 动态sql是mybatis的主要特性之一。在mapper中定义的参数传到xml中之后,在查询之前mybatis会对其进行动态解析。 mybatis提供了两种支持动态sql的语法:#{} 、${}。 select * from t_user wh...
MyBatis中的#{}和${}的用法
heliuerya的博客
06-15 2612
在实际开发中有些数据量非常大,需要分存储,然后分查询,比如:日志信息基本上是每天一张,现有多张日志信息:log_20230101、log_20230102、log_20230103…比如:在查询某班全体学生并按照姓名按照升序/降序排列的sql语句中,当需要传入关键字asc"或"desc"的时候需要使用${}而不能使用#{},像这种需要传入。先进行sql语句拼接,然后再编译sql语句,底层是Statement实现。的sql语句需要使用${},其它情况需要使用#{},用来防止出现sql注入现象。
SASS 插值语句 #{ }的使用
8号专栏
08-08 541
插值语法在使用中还是非常方便的,但有些情况不能使用,但不代后续不能使用,具体情况根据当前使用的版本来,有可能现目前版本不支持的情况,后续版本可能会支持。关于sass插件语法#{}的使用就介绍到这里,更多教程请关注“老姚实战营”!...
Mybatis-占位符#{}和${}的使用说明
m0_37965811的博客
05-31 2446
1、占位符 #{}是占位符,${}是拼接符。 #{}将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by “111”, 如果传入的值是id,则解析成的sql为order by “id”. ${}将传入的数据直接显示生成在sql中。如:order by ${user_id},如果传入的值是111,那么解析成sql时的值为order by 111, 如果传入的值是id,则解析成的sql为orde
Mybatis常问:#{}与${}的区别
zjjcchina的博客
06-06 2146
查询到数据才可以是登录成功,否则示登陆失败,但是会有这么一种情况,我们的SQL语句是由我们拼接的,如果用户故意输入可以让后台解析失败的字符串,这就是SQL注入,例如我们输入密码,输入 '''' ' or 1=1'' 这样,他会在后台进行拼接成select count(1) from table where username = 'username' and password = '' or 1=1;由结果可以看出,我们在没有密码的情况下依旧获取到了数据库的私密信息,由此可见${}存在很大的安全隐患。
Mybatis中的 ${} 和 #{}区别与用法
qq_37477477的博客
07-01 215
Mybatis 的Mapper.xml语句中parameterType向SQL语句传参有两种方式:#{}和${} 我们经常使用的是#{},一般解说是因为这种方式可以防止SQL注入,简单的说#{}这种方式SQL语句是经过预编译的,它是把#{}中间的参数转义成字符串,举个例子: select * from student where student_name = #{name} 预编译后,会动态解析成一个参数标记符?: select * from student where student_name = ? 而
MyBatis中的#和$有什么区别
关注我!带你一路 "狂飙" 到底!
02-08 4759
MyBatis是一款优秀的持久层框架,特别是在国内(国外据说还是 Hibernate 的天下)非常的流行,我们常说的SSM组合中的M指的就是MyBatisMyBatis支持定制化SQL、存储过程以及高级映射等多种特性,单纯从代码上来看,MyBatis避免了几乎所有的JDBC代码和手动设置参数以及手动处理结果集。而且MyBatis使用也非常方便,可以通过简单的XML或注解来配置和映射数据信息。对MyBatis不熟悉的小伙伴,可以私信百泽老师,我们有免费的MyBatis手把手教学视频送给你哦~
【安全】mybatis中#{}和${}导致sql注入问题及解决办法
最新发布
m0_59598029的博客
03-22 2740
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

卓@酌

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值