Mybatis中#和$区别

零、引言

使用 #{name} 的时候,MyBatis会进行预编译,防止SQL注入的问题(官方话)

用一个通俗一点的例子来解释,比如有如下MyBatis的SQL语句

一、最正确的用法

  1. <selectid="find">
  2. ... where name = #{name} order by ${columnName}
  3. </select>

说明:如果name的类型为String值为LCF,columnName的类型为String值为 id

上述SQL翻译结果是:

  1. ...where name =‘LCF‘ order by id

1. #{name} 会根据传入数据的类型进行预编译,所以在生成SQL的时候自动加上了单引号。

2.${columnName} 会直接将结果替换进来。

二、反例说明

  1. <selectid="find">
  2. ... where name = ${name} order by #{columnName}
  3. </select>

说明:基本类型和值如上所述,该SQL翻译出来的结果是什么?

  1. ...where name = LCF order by‘id‘

仔细看LCF是没有单引号引起来的,反倒是 id 被单引号括起来了。

三、结论

#会进行预编译,防止SQL注入。

$会被直接进行字符替换,容易造成SQL注入。

#####################LCF###############2017-06-21#####################

时间: 2024-10-10 23:07:46

Mybatis中#和$区别的相关文章

mybatis中&quot;#&quot;和&quot;$&quot;的区别

mybatis中"#"和"$"的区别 动态 sql 是 mybatis 的主要特性之一,在 mapper 中定义的参数传到 xml 中之后,在查询之前 mybatis 会对其进行动态解析.mybatis 为我们提供了两种支持动态 sql 的语法:#{} 以及 ${}. 在下面的语句中,如果 username 的值为 zhangsan,则两种方式无任何区别: select * from user where name = #{name}; select * from

mybatis 中#与$的区别

MyBatis/Ibatis中#和$的区别 1. #将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号.如:order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by "111", 如果传入的值是id,则解析成的sql为order by "id". 2. $将传入的数据直接显示生成在sql中.如:order by $user_id$,如果传入的值是111,那么解析成sql时的值为order by user_id,

spring中@param和mybatis中@param使用区别

spring中@param和mybatis中的@param的写法大致一样  int selectRoleCount(@Param("businessId") Integer businessId,@Param("memberId") Long memberId); 但是引入import的类不一样,一个是spring的[org.springframework.data.repository.query.Param]: 一个是mybatis的,[org.apache.i

MyBatis中关于resultType和resultMap的区别

MyBatis中在查询进行select映射的时候,返回类型可以用resultType,也可以用resultMap,resultType是直接表示返回类型的(对应着我们的model对象中的实体),而resultMap则是对外部ResultMap的引用(提前定义了db和model之间的隐射key-->value关系),但是resultType跟resultMap不能同时存在. 在MyBatis进行查询映射时,其实查询出来的每一个属性都是放在一个对应的Map里面的,其中键是属性名,值则是其对应的值.

[转]MyBatis中resultType与resultMap区别

MyBatis中关于resultType和resultMap的具体区别如下: MyBatis中在查询进行select映射的时候,返回类型可以用resultType,也可以用resultMap.resultType是直接表示返回类型的(对应着我们的model对象中的实体):resultMap则是对外部ResultMap的引用(提前定义了db和model之间的隐射key-->value关系):resultType跟resultMap不能同时存在. 在MyBatis进行查询映射时,其实查询出来的每一个

Mybatis中#{}和${}传参的区别及#和$的区别小结

最近在用mybatis,之前用过ibatis,总体来说差不多,不过还是遇到了不少问题,再次记录下, 比如说用#{},和 ${}传参的区别, 使用#传入参数是,sql语句解析是会加上"",比如 select * from table where name = #{name} ,传入的name为小李,那么最后打印出来的就是 select * from table where name = '小李',就是会当成字符串来解析,这样相比于$的好处是比较明显对的吧,#{}传参能防止sql注入,如果

zbb20180827 Mybatis中#{}和${}有什么区别?

1.Mybatis中#{}和${}有什么区别? (1) #{} 和 ${} 在预编译中的处理是不一样的.#{} 在预处理时,会把参数部分用一个占位符 ? 代替,而${}直接已字符串代替 例如: select * from tablename where name=#{name} 预编译的时候处理成 select * from tablename where name=? 而 select * from tablename where name=${name} 会在预编译中处理成 select *

MyBatis中#{ }和${ }的区别(笔面试题)

p.p1 { margin: 0.0px 0.0px 0.0px 0.0px; font: 19.0px "PingFang SC" } p.p2 { margin: 0.0px 0.0px 0.0px 0.0px; font: 19.0px "PingFang SC"; min-height: 26.0px } span.s1 { font: 19.0px Helvetica } MyBatis中#{ }和${ }的区别详解 1.#将传入的数据当成一个字符串,会对

MyBatis中selectByExample和selectByExampleWithBLOBs区别

MyBatis中selectByExample和selectByExampleWithBLOBs区别 先贴一段自动生成的Mapper代码 <select id="selectByExample" parameterType="com.pojo.TbItemParamExample" resultMap="BaseResultMap"> <select id="selectByExampleWithBLOBs"