Mybatis Mapper文件中的$和#的区别

最新推荐文章于 2023-06-17 17:13:26 发布
原创 最新推荐文章于 2023-06-17 17:13:26 发布 · 2k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#mybatis

本文通过一个具体的案例,介绍了在MyBatis的Mapper文件中使用$和#符号的区别。作者在开发过程中遇到SQL注入的问题,最终发现是因为误用了$符号而非#导致的。文章解释了使用#可以避免SQL注入风险,并给出了官方文档的相关说明。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Mybatis Mapper文件中的$和#的区别

最近在做一个很简单的更新api接口时,遇到了一个错误。这个错误虽然让我郁闷,因为当程序更新我本地数据库的时候是能正常执行的,但是其他同事对接的时候他本地数据库时会报错(数据库结构一模一样)。

  • 先查测试数据
    假设这个api接口需要传递一个id的参数,我测试的时候传的是123,而其他同事传的是123f。我的能成功,他的不行,刚开始在想会不会是他动了数据库,于是我用他的数据来测试,结果我的也失败了。

  • 看异常输出
    Java.sql.SQLException:Unknown column ‘123f’ in ‘where clause’,并打印出了SQL语句 update _company_test set status = ? where id = 123f. 看到这我就纳了闷,我命名传入的是字符串为何通过mybatis传输之后没有了引号了?

原来,我在mapper文件中将#写成了$,改回#后不再报错了。

那么,为什么呢?引用官方文档中的一段话

By default, using the #{} syntax will cause MyBatis to generate PreparedStatement properties and set the values safely against the PreparedStatement parameters (e.g. ?). While this is safer, faster and almost always preferred, sometimes you just want to directly inject a string unmodified into the SQL Statement.

官方给出的例子是 ORDER BY ${columnName}。于是,我算是终于搞明白了。

MyBatis中的Mapper文件配置——编写mybatis mapper.xml文件
AI天才研究院
07-29 6721
MyBatis 是一款优秀的持久层框架,它可以使得使用 SQL HQL 来操作数据库变得很简单, MyBatis 将原生的jdbc API隐藏在接口中,使开发人员更关注业务逻辑,从而方便地实现数据持久化操作。MyBatis 中最重要的组件之一就是 MyBatisMapper XML 配置文件Mapper XML 配置文件用来描述 MyBatis 映射器接口及其对应的 SQL、SQL语句的参数类型、返回值类型等信息。
MyBatis入门学习二(配置文件mapper文件、动态SQL)
最新发布
棉花糖老丫
04-26 2155
MyBatis 的强大特性之一便是它的动态 SQL 能力。当有多条件查询或操作时SQL语句的拼接是比较麻烦的事情并且拼接的时候要确保不能忘了必要的空格,逗号或者关键字。利用动态 SQL 这一特性可以彻底摆脱这种痛苦。通常使用动态 SQL 不可能是独立的一部分,MyBatis 当然使用一种强大的动态 SQL 语言来改进这种情形,这种语言可以被用在任意映射的 SQL 语句中。动态 SQL 元素使用 JSTL 或其他相似的基于 XML 的文本处理器相似。MyBatis 采用功能强大的基于 OGNL 的表达式。
Mybatismapper文件$#区别
weixin_30871905的博客
12-13 197
一般来说,我们使用mybatis generator来生成mapper.xml文件时,会生成一些增删改查的文件,这些文件中需要传入一些参数,传参数的时候,我们会注意到,参数的大括号外面,有两种符号,一种是#,一种是$。这两种符号有什么区别呢? SELECT * FROM employee WHERE name=#{name} SELECT * FROM employee ORDER BY ${s...
mybatis#$区别
热门推荐
灰太狼
03-22 2万+
mybatis接口mapper文件中引用传入的参数是通过#{param}或者${param}来使用的。1.数据类型匹配#:会进行预编译,而且进行类型匹配$:不进行数据类型匹配2.实现方式 #:用于变量替换$:实质上是字符串拼接3.#$的使用场景(1)变量的传递,必须使用#,使用#{}就等于使用了PrepareStatement这种占位符的形式,提高效率。可以防止sql注入等等问题。#方式一般用...
Mybatis$#区别
u012102536的博客
08-29 1133
1 #是将传入的值当做字符串的形式,eg:select id,name,age from student where id =#{id},当前端把id值1,传入到后台的时候,就相当于 select id,name,age from student where id ='1'.  2 $是将传入的数据直接显示生成sql语句,eg:select id,name,age from studen
Mybatis-mapper文件$#区别
迷路剑客个人博客
04-03 1601
Mybatis-mapper文件$#区别 0x01 # 1.1 原理 默认情况下,是用#{}会被预编译处理,会使得Mybatis创建PreparedStatement,当做占位符,参数化输入的参数,就在sql内使用?一样。 mybatis在处理#{}时,会将sql中的#{}替换为?,调用PreparedStatement的set方法来赋值。那么,一些特殊字符就会在真正执行前被转义。 比如有...
Mybatis下动态sql中##$$区别讲解
08-26
Mybatis中,使用Mapper.xml文件来定义SQL语句,并使用#{ }${ }来传递参数。那么,在Mybatis下动态sql中##$$区别是什么呢? 首先,我们需要了解的是,Mybatis在对SQL语句进行预编译之前,会对SQL语句进行...
关于mybatis mapper类注入失败的解决方案
08-19
解决MyBatis Mapper类注入失败的关键是检查Mapper类的注解、命名空间、Spring配置文件依赖关系。如果这些设置不正确,Mapper类可能无法正确地注入到容器中。 结论 ---------- MyBatis Mapper类注入失败是一个...
根据MyBatis或iBatis的SQLMapper文件反向生成数据库表
04-09
根据MyBatis或iBatis的SQLMapper文件解析生成数据库表,通常是指通过解析MyBatis或iBatis的SQLMapper文件中的SQL语句,然后根据这些SQL语句来生成对应的数据库表结构。这样的需求可能源于需要将已有的SQLMapper文件...
MyBatis mapper文件中的变量引用方式#{}与${}的差别
张相逢的博客
12-02 7613
默认情况下,使用#{}语法,MyBatis会产生PreparedStatement语句中,并且安全的设置PreparedStatement参数,这个过程中MyBatis会进行必要的安全检查转义。 示例1: 执行SQL:Select * from emp where name = #{employeeName} 参数:employeeName=>Smith 解析后执行的SQL:Select * fr
Mapper文件$#区别
冰川的博客
09-18 1280
简单来说 #{} 会在将参数加上引号,例如: SELECT * FROM user WHERE username=#{username} ; 带上参数后的SQL语句即: SELECT * FROM user WHERE username=“XuLiTong” ; 而${}并不会在给参数加上引号,例如: SELECT * FROM user ORDER BY ${id} DESC LIMIT #{offset},#{limit}; 带上参数后的SQL语句为: SELECT * FROM user ORDER
Mapper中的 #{} 与 ${} 的区别
wxhna_的博客
07-13 1152
Mapper中的 #{} 与 ${} 的区别
Mybatismapper文件$#的用法区别
qq_35550113的博客
06-05 1664
用了一段时间的Mybatis了,对于$#的用法老是很迷糊,特此记下加深记忆。简单来说 #{} 会在将参数加上引号,例如:SELECT * FROM user WHERE username=#{username} ...
Mybatis #$
井底之蛙
03-16 1万+
mybatismapper文件中,对于传递的参数我们一般是使用#$来获取参数值。 当使用#时变量是占位符,就是一般我们使用java jdbc的PrepareStatement时的占位符?,所有可以防止sql注入 当使用$时,变量就是直接追加在sql中,一般会有sql注入问题。 一个问题就是:在使用mybatis传递时间变量时,如果通过#方式获取变量值,可能会出现与数据库的字段的
Mybatis架构】Mapper映射文件中的#{}与${}
01-02 324
前言 还记得当初从北京回来的时候,跟着倪文杰师姐做JavaITOO的一卡通模块,我亲姐贾梦洁带着我一块做,期间,我遇到了一个特别奇葩的问题,就死我要实现Mybatis的模糊查询,根据当时亲姐教给我方法 select * from table where contions like #{something},就是解决不了问题,一点东西都查不出来,还报错。后来,我终于明...
Mybatis映射文件Mapper.xml中#$区别
a1257427517的专栏
12-06 9201
关于Mapper.xml映射语句中什么时候用"#"什么时候用"$",已经有很多人做过总结,我最近在写项目时仍然遇到了一点问题,所以在这里结合项目文档案例,再做一下总结,也作为个人的笔记,在这里再总结下。 一、先看一下在mybatis api中关于"#""$"的描述 1、"#" 图 1来自于mybatis api “Mapper XML文件”章节,   简单来说"#"在编译时使用&
myBatis获取参数值的两种方式 #{}${}
wang_s_f的博客
06-17 541
3.若mapper接口中的方法需要的参数为多个时,此时可以手动创建map集合,将这些数据放在 map中 只需要通过${}#{}访问map集合的键(自己设置的键)就可以获取相对应的值,注意${}需要手动加单引号。1.mapper接口方法的参数为单个的字面量类型,可以通过#{}${}以任意的名称获取参数值,但是需要注意${}的单引号问题(因为#{}会防止sql的注入 用?因此只需要通过 ${} #{} 访问map集合的键就可以获取相对应的值,注意 ${} 需要手动加单引号。用${}是 需要加入单引号。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值