【JavaEE进阶】 #{}和${}

news2024/11/14 23:35:07

文章目录

  • 🍃前言
  • 🌳#{}和${}使⽤
    • 🚩Interger类型的参数(基础数据类型)
      • 🎈使用#{}
      • 🎈使用${}
    • 🚩String类型的参数
      • 使用🎈#{}
      • 使用🎈${}
  • 🎍#{}和${}区别
    • 🚩#{}性能更⾼
    • 🚩#{}更安全(防⽌SQL注⼊)
    • 🚩${}的使⽤场景
      • 🎈排序功能
      • 🎈like查询
  • 🍀#{}和${}区别总结
  • ⭕总结

🍃前言

MyBatis参数赋值有两种⽅式,使⽤ #{} 和 ${}进⾏赋值,接下来我们看下⼆者的区别

🌳#{}和${}使⽤

我们先来看一下两者在基础数据类型与string类型下的使用

🚩Interger类型的参数(基础数据类型)

🎈使用#{}

@Select("select * from userinfo where id= #{id}")
List<UserInfo> selectId(Integer id);

我们观察一下我们的打印日志:

在这里插入图片描述

发现我们输出的SQL语句:

select * from userinfo where id= ?

我们输⼊的参数并没有在后⾯拼接,id的值是使⽤ ? 进⾏占位.这种SQL我们称之为"预编译SQL"

🎈使用${}

@Select("select * from userinfo where id= ${id}")
List<UserInfo> selectId1(Integer id);

在这里插入图片描述
可以看到,这次的参数是直接拼接在SQL语句中了.

🚩String类型的参数

使用🎈#{}

@Select("select * from userinfo where username = #{name}")
List<UserInfo> selectId2(String name);

观察打印日志
在这里插入图片描述
结果与上面一样成功返回

使用🎈${}

再使用一下${}

@Select("select * from userinfo where username = #{name}")
List<UserInfo> selectId3(String name);

再次进行打印日志:

在这里插入图片描述

可以看到,这次的参数依然是直接拼接在SQL语句中了,但是字符串作为参数时,需要添加引号 ‘’ ,使⽤ ${} 不会拼接引号 ‘’ ,导致程序报错.

修改代码如下:

@Select("select * from userinfo where username = '${name}'")
List<UserInfo> selectId3(String name);

再次运行
在这里插入图片描述
结果实现正常

从上⾯两个例⼦可以简单看出:

#{} 使⽤的是预编译SQL,通过 ? 占位的⽅式,提前对SQL进⾏编译,然后把参数填充到SQL语句中.

#{} 会根据参数类型,⾃动拼接引号 ‘’ .${} 会直接进⾏字符替换,⼀起对SQL进⾏编译.如果参数为字符串,需要加上引号 ’ ’

参数为数字类型时,也可以加上,查询结果不变,但是可能会导致索引失效,性能下降

🎍#{}和${}区别

#{}和${}的区别就是预编译SQL即时SQL的区别.

🚩#{}性能更⾼

绝⼤多数情况下,某⼀条SQL语句可能会被反复调⽤执⾏,或者每次执⾏的时候只有个别的值不同(⽐如select的where⼦句值同,update的set⼦句值不同,insert的values值不同).

如果每次都需要经过上⾯的语法解析,SQL优化、SQL编译等,则效率就明显不⾏了.

在这里插入图片描述

预编译SQL,编译⼀次之后会将编译后的SQL语句缓存起来,后⾯再次执⾏这条语句时,不会再次编译(只是输⼊的参数不同),省去了解析优化等过程,以此来提⾼效率

🚩#{}更安全(防⽌SQL注⼊)

SQL注⼊:是通过操作输⼊的数据来修改事先定义好的SQL语句,以达到执⾏代码对服务器进⾏攻击的⽅法

原因:由于没有对⽤⼾输⼊进⾏充分检查,⽽SQL⼜是拼接⽽成,在⽤⼾输⼊参数时,在参数中添加⼀些SQL关键字,达到改变SQL运⾏结果的⽬的,完成恶意攻击

接下来我们先看一个sql注入的例子:

注入sql代码: ’ or 1='1

首先我们有以下代码:

@Select("select * from userinfo where username = '${name}'")
List<UserInfo> selectId4(String name);

当我们正常传参数时,代码如下:

@Test
void selectId4() {
    List<UserInfo> list = assignmentMapper.selectId3("陈平安");
    System.out.println(list);
}

正常运行结果如下:
在这里插入图片描述
接下来我们注入sql代码如下:

@Test
void selectId4() {
    List<UserInfo> list = assignmentMapper.selectId3("' or 1='1 ");
    System.out.println(list);
}

再次运行:结果依然被正确查询出来了,其中参数or被当做了SQL语句的⼀部分
在这里插入图片描述
但是呢,我们需要查询的应该是一个人的信息,这里却将所有人的信息给打印了出来。

🚩${}的使⽤场景

从上⾯的例⼦中,可以得出结论:$ {}会有SQL注⼊的⻛险,所以我们尽量使⽤#{}完成查询

既然如此,是不是$ { }就没有存在的必要性了呢?

当然不是.接下来我们看下${}的使⽤场景

🎈排序功能

接下来我们来实现通过传递参数让表实现升序降序排序:

我们先用#{}

@Select("select * from userinfo order by id #{sort}")
List<UserInfo> selectId5(String sort);

当我们进行传参:

@Test
void selectId5() {
    List<UserInfo> list = assignmentMapper.selectId5("asc");
    System.out.println(list);
}

进行启动:
在这里插入图片描述
可以发现,当使⽤ #{sort} 查询时,asc前后⾃动给加了引号,导致sql错误

使用${}就可以避免这种情况:
在这里插入图片描述
除了这个之外,还有表名作为参数时,也只能使⽤ ${}

🎈like查询

同样,like使⽤#{}报错

@Select("select * from userinfo where username = like '%#{key}%' ")
List<UserInfo> selectId7(String key);

把#{}改成$ {}可以正确查出来,但是$ {}存在SQL注⼊的问题,所以不能直接使⽤${}

@Select("select * from userinfo where username = like concat('%',#{key},'%') ")
List<UserInfo> selectId7(String key);

🍀#{}和${}区别总结

  1. #{}:预编译处理,${}:字符直接替换

  2. #{}可以防⽌SQL注⼊,${}存在SQL注⼊的⻛险,查询语句中,可以使⽤#{},推荐使⽤#{}

  3. 但是⼀些场景,#{}不能完成,⽐如排序功能,表名,字段名作为参数时,这些情况需要使⽤${}

  4. 模糊查询虽然${}可以完成,但因为存在SQL注⼊的问题,所以通常使⽤mysql内置函数concat来完成

⭕总结

关于《【JavaEE进阶】 #{}和${}》就讲解到这儿,感谢大家的支持,欢迎各位留言交流以及批评指正,如果文章对您有帮助或者觉得作者写的还不错可以点一下关注,点赞,收藏支持一下!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1414750.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

中国新能源汽车持续跑出发展“加速度”,比亚迪迎来向上突破

2023年已经过去&#xff0c;对于汽车圈而言&#xff0c;2023年是中国车市的分水岭&#xff0c;在这一年&#xff0c;中国汽车工业70年以来首次进入全球序列&#xff0c;自主品牌强势霸榜&#xff0c;销量首次超过合资车。要知道&#xff0c;这是自大众于1984年进入中国市场成立…

【PLC 网络通信及 MODBUS TCP通信测试】

提示&#xff1a;文章写完后&#xff0c;目录可以自动生成&#xff0c;如何生成可参考右边的帮助文档 文章目录 前言一、PLC的通信方式有&#xff1f;二、PLC网络通信1.MODBUS TCP 三、安装虚拟软件2.测试2.1 测试程序2.2 对接虚拟软件 总结 前言 提示&#xff1a;这里可以添加…

2024年人工智能产业十大发展趋势

2024年人工智能产业十大发展趋势 技术变革1. 多模态预训练大模型将是人工智能产业的标配2. 高质量数据愈发稀缺将倒逼数据智能飞跃3. 智能算力无处不在的计算新范式加速实现 应用创新4. 人工智能生成内容&#xff08;AIGC&#xff09;应用向全场景渗透5. 人工智能驱动科学研究&…

第8章 异常

第8章 异常 学习目标 能够辨别程序中异常和错误 说出异常的分类 说出虚拟机处理异常的方式 列出常见的5个运行时异常 列出常见的5个编译时异常 能够使用try…catch关键字处理异常 能够使用throw抛出异常对象 能够使用throws关键字处理异常 能够自定义异常类 能够处理自定义异常…

【精选推荐】3款强大的API渗透测试工具

1免责声明 请勿利用文章内的相关技术从事非法测试&#xff0c;由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失&#xff0c;均由使用者本人负责&#xff0c;作者不为此承担任何责任。工具来自网络&#xff0c;安全性自测。 2前言 给大家介绍三款优秀的…

单片机学习笔记---独立按键控制LED显示二进制

这节我们来实现独立按键的第三个功能&#xff0c;独立按键控制LED显示二进制 新创建一个工程文件&#xff0c;然后上来我们就要把基本框架写好&#xff0c;这是基本的习惯 老规矩&#xff0c;然后把Delay 1ms的代码复制过来 复制过来后改造一下&#xff1a; 把1ms删掉&#x…

类和对象 第四部分:友元

在程序里&#xff0c;有些私有属性&#xff0c;也想让类外特殊的一些函数或者类进行访问&#xff0c;就需要用到友元的技术 友元的目的就是让一个函数或者类&#xff0c;访问另一个类私有成员 友元的关键字为friend 一.友元的三种实现 &#xff08;一&#xff09;全局函数友元 …

【Mybatis的一二级缓存】

缓存是什么&#xff1f; 缓存其实就是存储在内存中的临时数据&#xff0c;这里的数据量会比较小&#xff0c;一般来说&#xff0c;服务器的内存也是有限的&#xff0c;不可能将所有的数据都放到服务器的内存里面&#xff0c;所以&#xff0c; 只会把关键数据放到缓存中&#x…

解决:‘chromedriver’ executable needs to be in PATH

解决&#xff1a;chromedriver’ executable needs to be in PATH 文章目录 解决&#xff1a;chromedriver’ executable needs to be in PATH背景报错问题报错翻译报错位置代码报错原因解决方法方法一&#xff1a;检查python安装路径有没有添加到环境变量里面方法二&#xff1…

C# 命名管道NamedPipeServerStream使用

NamedPipeServerStream 是 .NET Framework 和 .NET Core 中提供的一个类&#xff0c;用于创建和操作命名管道的服务器端。命名管道是一种在同一台计算机上或不同计算机之间进行进程间通信的机制。 命名管道允许两个或多个进程通过共享的管道进行通信。其中一个进程充当服务器&…

JavaSE基础面试题-线程池原理

线程池原理 线程池做的主要工作是控制线程运行的数量&#xff0c;处理过程中将任务放入队列&#xff0c;然后在线程创建后&#xff0c;启动这些任务如果线程数量超过了最大数量&#xff0c;超出数量的线程排队等候&#xff0c;等其它线程执行完成&#xff0c;再从队列中取出执…

Nodejs前端学习Day1_补档

我给day1搞没了&#xff0c;还是觉得该补一个&#xff0c;有用 文章目录 前言一、学习目标二、学习目录三、为什么JavaScript代码可以在浏览器中运行四、为什么JavaScript可以操作DOM和BOM五、浏览器中的JavaScript运行环境总结 前言 补档 一、学习目标 二、学习目录 三、为什…

二分算法模版

二分算法模版 实数二分算法模版实数二分模版题 整数二分算法模版向上取整二分模版向下取整二分模版二分模版的注意点二分模版中check函数的实现能够使用二分的条件 二分主要分两类&#xff0c; 一类是对实数进行二分&#xff0c;一类是对整数进行二分 对整数二分又分成2种&…

ubuntu20.04 安装ROS2 记录

主要参考B站古月居的ROS2入门21讲 和 以下链接&#xff08;基本和视频上一致&#xff09; ubuntu20.04安装ROS2 详细教程_ubuntu20.04 ros2-CSDN博客 但是中间有些需要注意的地方&#xff0c; 1&#xff0c;添加源 步骤中提到 sudo curl -sSL https://raw.githubuserconten…

移动Web——平面转换-旋转

1、平面转换-旋转 <!DOCTYPE html> <html lang"en"> <head><meta charset"UTF-8"><meta name"viewport" content"widthdevice-width, initial-scale1.0"><title>Document</title><style…

【JavaEE进阶】 数据库连接池与MySQL企业开发规范

文章目录 🌴数据库连接池🎋数据库连接池的使用🎄MySQL企业开发规范⭕总结🌴数据库连接池 数据库连接池负责分配、管理和释放数据库连接,它允许应⽤程序重复使⽤⼀个现有的数据库连接,⽽不是再重新建⽴⼀个. 没有使⽤数据库连接池的情况:每次执⾏SQL语句,要先创建⼀…

【JavaSE篇】——数组的定义与使用

目录 本章的目标&#xff1a; &#x1f388;数组的基本概念 &#x1f36d;创建数组 &#x1f36d;数组的初始化 &#x1f36d;数组的使用 &#x1f449;数组中元素访问 &#x1f449;遍历数组 &#x1f388;数组是引用类型 &#x1f36d;初始JVM的内存分布 &#x1f…

HarmonyOS自定义弹出对话框CustomDialog并传递变量

HarmonyOS定义了一系列弹窗反馈类的组件​ 和前端开发框架VUE3配套生态库element plus中的提供各种组件相比&#xff0c;还是要少一些。可能是手机端操作和PC端操作的差异导致的​ 如果内置的弹窗不满足要求&#xff0c;可以基于CustomDialog自定义出各种个性化的反馈组件。 首…

数据库:根据学校的业务规则画出E-R图以及数据库模型图,并构建一个简单的数据库

目录 序言 一、需求 二、E-R图 E-R图&#xff1a; 三、关系模式 数据库模型图&#xff1a; 四、在MYSQL中创建数据库 4.1 年级表的创建 4.2 科目表的创建 4.3 学生表的创建 4.4 成绩表的创建 结果如下&#xff1a; 序言 本篇文章我将通过一个具体的例子教会大家大家…

Ceph分布式存储自动化运维平台开发实践

文章目录 1. 背景介绍1.1 什么是Ceph&#xff1f;1.1.1 Ceph的核心组件1.1.2 Ceph的优势 1.2 自动化运维的需求目标 2. 平台架构设计和组件版本2.1 平台架构设计2.2 组件版本2.3 模块划分&#xff08;已经脱敏处理&#xff09;2.3.1 当前版本V1.0支持功能2.3.2 前后端代码结构t…