Mybatis中$和#取数据的区别

Mybatis配置中,取出map入参的数据一般有两种方式#{key}${key},下面是这两种取值的区别:

  以同样的语句做对比:

<select id="geUserByParam1" resultType="Map" parameterType="Map">
        select * from t_user t where t.name=#{name} and t.password=#{password}
</select>
<select id="geUserByParam2" resultType="Map" parameterType="Map">
        select * from t_user t where t.name=${name} and t.password=${password}
</select>

  如果传入的name和password参数分别是:admin和123456。

#{key}取值后执行的sql是select * from t_user t where t.name=‘admin‘ and t.password=‘123456‘

${key}取值后执行的sql是select * from t_user t where t.name=admin and t.password=123456

很明显,#{key}取值会自动将值看成是字符串类型,并带上单引号;而${key}取值就是传的值是啥就是啥。由此可见#{key}取值可以防止sql注入,而${key}取值可能会引起sql注入情况。有的时候用模糊查询可能会用到${key}取值,比如:

<select id="geUserByParam3" resultType="Map" parameterType="Map">
        select * from t_user t where t.name like ‘%${name}%‘
</select>

其实这种情况也可以用#{key}来代替的:

<select id="geUserByParam3" resultType="Map" parameterType="Map">
        select * from t_user t where t.name like concat(‘%‘,#{name},‘%‘)
</select>

因此建议尽量在开发中用#{key}取值,这样确实可以避免一些问题!

注意:本文仅代表个人理解和看法哟!和本人所在公司和团体无任何关系!

原文地址:https://www.cnblogs.com/wy697495/p/9752087.html

时间: 2024-10-09 03:12:26

Mybatis中$和#取数据的区别的相关文章

Jquery和js取数据的区别以及引用Jquery文件

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> <html xmlns="http://www.w3.org/1999/xhtml"> <head> <meta http-equiv="Content-

mybatis foreach批量插入数据:Oracle与MySQL区别

mybatis foreach批量插入数据:Oracle与MySQL不同点: 主要不同点在于foreach标签内separator属性的设置问题: separator设置为","分割时,最终拼接的代码形式为:insert into table_name (a,b,c) values (v1,v2,v3) ,(v4,v5,v6) ,... separator设置为"union all"分割时,最终拼接的代码形式为:insert into table_name (a,b

索引量和site数据的区别及含义

首先来澄清一下site数据与网站索引量的区别: 1.在搜索引擎中输入site指令后得到的是一个网站大致的收录量. 百度官方给出的说明是:site指令查询到的页面只是放出去的页面,也就是用户可以搜索到的页面. 2.而网站的索引量指的是被编入到索引库中的网页数量(更为精准的收录量).百度官方给出的解释是:"站点内容页面需要经过搜索引擎的抓取和层层筛选(可以理解为过滤)后,方可在搜索结果中展现给用户.页面通过系统筛选,并被作为搜索候选结果的过程,即为建立索引. 也就是说索引库中的网页过一段时间才会被陆

以连接为例 说明Kettle和SQL处理数据的区别

首先声明本人不懂Java,只是从执行结果推测Kettle的处理机制,有不对的地方,还请多多指教. 据我推测:SQL对数据的处理是批量处理的,而Kettle对数据的处理是逐行处理的. 先理解一下meger(合并)和join(连接),假设A表两个字段,B表两个字段 meger: 结果为两个字段. join: 结果为4个字段. 下面从Kettle中的连接与合并,说明Kettle与SQL的区别.因为Kettle是逐行处理的,所以做连接前一定要根据关键字排好序. 1. Join Rows (cartesi

MyBatis框架与Hibernate 框架的区别,SpringMVC和MyBatis区别:

MyBatis框架与Hibernate 框架的区别 Hibernate 框架 Hibernate是一个开放源代码的对象关系映射框架,它对JDBC进行了非常轻量级的对象封装,建立对象与数据库表的映射.是一个全自动的.完全面向对象的持久层框架. Mybatis框架 Mybatis是一个开源对象关系映射框架,原名:ibatis,2010年由谷歌接管以后更名.是一个半自动化的持久层框架. 两者区别 开发方面 在项目开发过程当中,就速度而言:  - hibernate开发中,sql语句已经被封装,直接可以

代码: 两列图片瀑布流(一次后台取数据,图片懒加载。下拉后分批显示图片。图片高度未知,当图片onload后才显示容器)

代码: 两列图片瀑布流(一次后台取数据,无ajax,图片懒加载.下拉后分批显示图片.图片高度未知,当图片onload后才显示容器) [思路]: 图片瀑布流,网上代码有多种实现方式,也有各类插件.没找到合意的,所以根据网上找的一段代码,进行了较大改动. 需引用 zepto 或 jquery. 我这个是应用于手机上的,两列瀑布流,图片高度未知——等图片的onloaded事件触发后,才对容器进行计算和定位. 大容器是 $("#imgList"),容器格子是$(".pin"

python自然语言处理1——从网络抓取数据

python自然语言处理1--从网络抓取数据 写在前面 本节学习python2.7 BeautifulSoup库从网络抽取数据的技术,检验之简而言之就是爬虫技术.网络编程是一门复杂的技术,在需要基础的地方,文中给出的链接地址,都是很好的教程,可以参考,我在这里不在重复发明轮子.本节的主旨在于: 帮助快速掌握基本爬虫技术,形成一条主线,能为自己的实验构造基础数据.掌握爬虫技术后,可以从网络抓取符合特定需求的数据供分析,这里学习的爬虫技术适用于数据挖掘.自然语言处理等需要从外部挖掘数据的学科. 1.

从网页抓取数据的一般方法

首先要了解对方网页的执行机制 ,这能够用httpwacth或者httplook来看一下http发送和接收的数据.这两个工具应该说是比較简单易懂的.这里就不再介绍了.主要关注的内容是header和post的内容.通常会包括cookie,Referer页面和其它一些乱其八糟可能看不懂的变量,还有就是正常交互的參数,比方须要post或者get的querystring所包括的东西. httplook和httpwacth 网上有非常多下载的,这里推荐使用httpwach,由于能够直接嵌入到ie中,个人认为

Hive基础之Hive体系架构&amp;运行模式&amp;Hive与关系型数据的区别

Hive架构 1)用户接口: CLI(hive shell):命令行工具:启动方式:hive 或者 hive --service cli ThriftServer:通过Thrift对外提供服务,默认端口是10000:启动方式:hive --service hiveserver WEBUI(浏览器访问hive):通过浏览器访问hive,默认端口是9999:启动方式:hive --service hwi 2)元数据存储(Metastore):启动方式:hive -service metastore