备案控制台
探索云世界
开发者社区 数据库 文章 正文

Mybatis中$与#的区别

2016-05-26 2007
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介:

mybatis中#{}和${}的区别

mybatis本身的说明:

复制代码 
String Substitution

By default, using the #{} syntax will cause MyBatis to generate PreparedStatement properties and set the values safely against the PreparedStatement parameters (e.g. ?). While this is safer, faster and almost always preferred, sometimes you just want to directly inject a string unmodified into the SQL Statement. For example, for ORDER BY, you might use something like this:

ORDER BY ${columnName}
Here MyBatis won't modify or escape the string.

NOTE It's not safe to accept input from a user and supply it to a statement unmodified in this way. This leads to potential SQL Injection attacks and therefore you should either disallow user input in these fields, or always perform your own escapes and checks.
复制代码

从上文可以看出:

1. 使用#{}格式的语法在mybatis中使用Preparement语句来安全的设置值,执行sql类似下面的:

PreparedStatement ps = conn.prepareStatement(sql);
ps.setInt(1,id);

这样做的好处是:更安全,更迅速,通常也是首选做法。

2. 不过有时你只是想直接在 SQL 语句中插入一个不改变的字符串。比如,像 ORDER BY,你可以这样来使用:

ORDER BY ${columnName}

此时MyBatis 不会修改或转义字符串。

这种方式类似于:

    Statement st = conn.createStatement();
       
      ResultSet rs = st.executeQuery(sql);

这种方式的缺点是: 以这种方式接受从用户输出的内容并提供给语句中不变的字符串是不安全的,会导致潜在的 SQL 注入攻击,因此要么不允许用户输入这些字段,要么自行转义并检验。

 

 

参考文献:

【1】http://mybatis.github.io/mybatis-3/sqlmap-xml.html

【2】https://mybatis.github.io/mybatis-3/zh/sqlmap-xml.html

文章标签:
Java
mybatis
数据库连接
SQL
安全
关键词:
MyBatis区别
浩宇天尚
目录
相关文章
阿甘兄
|
6月前
|
SQL 安全 Java
65MyBatis - MyBatis中 # 与 $ 的区别
65MyBatis - MyBatis中 # 与 $ 的区别
阿甘兄
21 0
瑶大头*^_^*
|
6月前
|
SQL XML Java
mybatis基本构成&mybatis与hibernate的区别&添加mybatis支持
mybatis基本构成&mybatis与hibernate的区别&添加mybatis支持
瑶大头*^_^*
33 0
游客gy27fhrpaouum
|
4月前
|
SQL Java 数据库连接
MyBatis与Hibernate区别
MyBatis 是一款优秀的持久层框架,它支持定制化 SQL、存储过程以及高级映射。MyBatis 避免了几乎所有的 JDBC代码和手动设置参数以及获取结果集。MyBatis 可以使用简单的 XML 或注解来配置和映射原生信息,将接口和 Java 的POJOs(Plain Ordinary Java Object,普通的 Java对象)映射成数据库中的记录。
游客gy27fhrpaouum
38 0
孤留光乩
|
6月前
|
SQL Java 数据库连接
MyBatis之动态SQL、#与$的区别和结果映射
MyBatis之动态SQL、#与$的区别和结果映射
孤留光乩
62 0
云小君
|
6月前
|
SQL 安全 Java
Mybatis的动态SQL及关键属性和标识的区别(对SQL更灵活的使用)
Mybatis的动态SQL及关键属性和标识的区别(对SQL更灵活的使用)
云小君
27 0
Tom弹架构
|
8月前
|
SQL XML Java
MyBatis配置中的#「」和$「」有什么区别?
Mybatis提供到的#号和$号,都是实现动态SQL的一种方式,通过这两种方式把参数传递到XML之后,在执行操作之前,Mybatis会对这两种占位符进行动态解析。
Tom弹架构
59 0
极客李华
|
3月前
|
SQL 存储 Java
MyBatis与Hibernate有什么区别?
MyBatis与Hibernate有什么区别?
极客李华
20 1
极客李华
|
3月前
|
SQL Java 数据库连接
MyBatis与MyBatis-Plus的区别?
MyBatis与MyBatis-Plus的区别?
极客李华
68 0
程序员朱永胜
|
3月前
|
SQL Java 数据库连接
myabtis中为什么说 MyBatis 是半自动 ORM 映射工具?它与全自动的区别在哪里
myabtis中为什么说 MyBatis 是半自动 ORM 映射工具?它与全自动的区别在哪里
程序员朱永胜
27 0
珠江上上上
|
8月前
|
安全 Java 数据库连接
【MyBatis】核心配置文件,三大对象的作用域,#{}和${}的区别
【MyBatis】核心配置文件,三大对象的作用域,#{}和${}的区别
珠江上上上
69 0

热门文章

最新文章

  • 1
    答案很详细的MyBatis面试题(含示例代码)
  • 2
    MyBatis 优秀的持久层框架(一)
  • 3
    Spring+SpringMVC+Mybatis的分布式敏捷开发系统架构
  • 4
    【mybatis】第一篇,Springboot中使用插件PageHelper不生效解决方案
  • 5
    MyBatis二级缓存解密:深入探究缓存机制与应用场景
  • 6
    【mybatis-plus】自定义多数据源,动态切换数据源事务失效问题
  • 7
    SpringBoot + Mybatis + Vue的代码生成器
  • 8
    MyBatis初探:揭示初始化阶段的核心流程与内部机制
  • 9
    【mybatis-plus】Springboot+AOP+自定义注解实现多数据源操作(数据源信息存在数据库)
  • 10
    Spring Boot+Gradle+ MyBatisPlus3.x搭建企业级的后台分离框架
  • 1
    mybatis 调用修改SQL时 出现了一个问题 没有修改成功也没有报错
    9
  • 2
    Javaweb之Mybatis的XML配置文件的详细解析
    13
  • 3
    Javaweb之Mybatis的基础操作之新增和更新操作的详细解析
    10
  • 4
    什么是MyBatis持久层框架?
    23
  • 5
    MyBatis二级缓存解密:深入探究缓存机制与应用场景
    47
  • 6
    MyBatis初探:揭示初始化阶段的核心流程与内部机制
    30
  • 7
    MyBatis精髓揭秘:Mapper代理实现的黑盒探索
    22
  • 8
    MyBatis之魂:探索核心接口SqlSession的神秘力量
    25
  • 9
    深度解析MyBatis核心:探寻其核心对象的精妙设计
    20
  • 10
    深入源码:解密MyBatis数据源设计的精妙机制
    23

    • 相关课程

    更多
  • MyBatis持久层框架入门

    • 相关电子书

    更多
  • Java Spring Boot开发实战系列课程【第6讲】:Spring Boot 2.0实战MyBatis与优化(Java面试题)
  • Spring框架入门
  • 低代码开发师(初级)实战教程
    • 下一篇
    部署LAMP环境(Alibaba Cloud Linux 3)