2. 程式人生 > >Mybatis中#{}和${}傳參的區別?

Mybatis中#{}和${}傳參的區別?

阿新 發佈:2019-01-02 
"使用#傳入引數"
sql語句:select * from emp where empno= #{empNo};
        如果傳入empNo為7369,那麼打印出來的就是
        select * from dept where dname = '7369';
"使用$傳入引數"
sql語句:select * from dept where dname = ${dname};
        如果傳入empNo為7369,那麼打印出來的就是
        select * from dept where dname = 7369;
"區別":#()當成字串解析,而$()則是把傳入的值放在sql語句後面,所以#{
 
}傳參能防止sql注入。
"什麼是防止sql注入?"

《測試類》

 SqlSession sqlSession = null;
 sqlSession = SqlSessionFactoryUtil.getSession();
 EmpDao empDao = sqlSession.getMapper(EmpDao.class);
 Map map = new HashMap();
 map.put("empNo","7369 or 1=1");
 List<Map> empDaoList = empDao.getList(map);
 if(empDaoList!=null&&
 
empDaoList.size()>0){
            for (Map map1 : empDaoList) {
                System.out.println(map1.get("ENAME")+" "+map1.get("HIREDATE"));
            }
        }
        
《配置》

<if test="empNo != null and empNo != '' ">
    and empno = #{empNo}
</if>

這裡如果你使用#(),則會報錯,無效數字,說明防止了sql注入,而使用$(
 
)則不會報錯。
 
"模糊查詢怎麼寫?"
<select id="getList" parameterType="map" resultType="map">
  	 select * from emp
	 <where>
		 <if test="ename != null and ename != '' ">
		     and ename like '%'||#{ename}||'%'
		 </if>
	</where>
</select>

相關推薦

Mybatis#{}${}區別

生成 語句 區別 能夠 ole {} sel sele lec 使用#{}傳入參數時,sql語句解析是會加上‘‘。#方式能夠很大程度防止sql註入。 ${}將傳入的數據直接顯示生成在sql中。 例如:select * from user_role where user_co

記錄下mybatis#{}${}區別

最近在用mybatis,之前用過ibatis,總體來說差不多,不過還是遇到了不少問題,再次記錄下, 比如說用#{},和 ${}傳參的區別, 使用#傳入引數是,sql語句解析是會加上"",比如  select * from table where name = #{nam

mybatis#$區別

#{a} 會按照型別替換, 如果a 是string, 那麼最後的結果為‘ssss’ a是文本替換,如果a是String,那麼最後的結果也為ssss,{}主要用在**group by, order by

Mybatis#{}${}區別

"使用#傳入引數" sql語句:select * from emp where empno= #{empNo}; 如果傳入empNo為7369,那麼打印出來的就是 select * from dept where dname =

[轉載]記錄下mybatis#{}${}區別

最近在用mybatis,之前用過ibatis,總體來說差不多,不過還是遇到了不少問題,再次記錄下, 比如說用#{},和 ${}傳參的區別, 使用#傳入引數是,sql語句解析是會加上”“,比如  select * from table where name =

Mybatis #{}與${}區別

區別如下: 1.#{}傳參能防止sql注入,使用#傳入引數時,sql語句解析時會加上雙引號,當作字串來解析。 select * from student where name=#{name} sel

Mybatis 時,$ # 的區別

MyBatis中使用parameterType向SQL語句傳參,parameterType後的型別可以是基本型別int,String,HashMap和java自定義型別。在SQL中引用這些引數的時候,可以使用兩種方式#{parameterName}或者${parameterN

MyBatis兩種方式的區別

傳參方式 type 方式 數值 參數 識別 jdbc 直接 tis $與#的區別 select * from T_PRINT_LAYOUT where D_RECID = ${recId} 最後生成的SQL為: select * from T_PRINT_LAYO

vue-router queryparams區別注意事項

1.query傳參: 1.query傳參 路由: var router = new VueRouter({ routes: [ { path: '/login', component: login }, { name:'regi

關於Mybatis關聯對映檔案機制

mybatis有兩種關聯對映檔案的方式 (1)第一種是直接讀取對映檔案     通過對映檔名稱路徑加上要處理的sql語句所在塊的id @Test public void findCustomerByIdTest() throws IOException {

mybatis的#$的區別

背景 插入 trac sql註入 -m .com article 參數 -s 1. #將傳入的數據都當成一個字符串,會對自動傳入的數據加一個雙引號。如:order by #user_id#,如果傳入的值是111,那麽解析成sql時的值為order by "111", 如果傳

淺談 Mybatis的 ${ } #{ }的區別

mybatis sql註入 語句 nbsp 之前 com pre 預編譯 sql 語句 一、舉例說明 1 select * from user where name = "dato"; 2 3 select * from user where name = #

[轉]MyBatisresultType與resultMap區別

作用 進一步 sel 存在 其中 對象 直接 model ati MyBatis中關於resultType和resultMap的具體區別如下: MyBatis中在查詢進行select映射的時候,返回類型可以用resultType,也可以用resultMap。resultTy

quartz定時任務_job實現類獲取02

hide sage 打印 exception blog div eve key tex 1.main方法: public static void main(String[] args) throws SchedulerException { // TODO Auto-ge

關於mybatis使用map0 " !='' " 的問題

ram each 記錄 mybatis 接口 dao foreach 刪除! param 記錄一下我在開發中遇到的一個小問題:   dao中有一個接口的傳入類型為map:public abstract List<ActivityEntryDo> selectBy

Mybatis動態SQL

傳入單個String public void selectExample(String param); <!-- Mybatis不做特殊處理,xml中引數名隨便寫什麼Mybatis都可以取到 --> <select id="selectExample" param

MyBatis的${}#{}的區別

1 、  理論區別          $與#的區別是很大的。#為佔位符,而$為字串拼接符。 字串拼接是將引數值以硬編碼的方式直接拼接到了SQL 語句中。字串拼接就會引發  兩個問題:SQL注入問題

fastadminajax

在fastadmin專案中用到get傳參,怎麼也接收不上,細看才發現中間加了一層ajax,需要透過ajax來使用 程式碼如下: php程式碼 public function index() { $memid_arr = []; //獲取商家id

vue路由

路由: vue路由傳參方式有: query、params+動態路由傳參 1. query通過path切換路由, params通過name切換路由 // query通過path切換路由 <router-link :to="{path: 'Detail', query: { id: 1 }}"&g

js 獲取純web位址列URL

         function GetQueryString(name)    {         var reg = new RegExp("(^|&)"+ name +"=