一、对比场景

场景:数据库分表时,需要将分表的表序号传入的sql中。

SpringBoot中使用注解如下:

@Insert("insert into collect_#{tblNum}(id,user_id,resource_id,resource_name,author,album,resource_type,create_time,update_time)" +

            " values (uuid(),#{userId},#{collect.resourceId},#{collect.resourceName},#{collect.author}," +

            "#{collect.album},#{collect.resourceType},#{time},#{time})")  

报错提示找不到表

2018-06-20 08:55:04.398 ERROR [http-nio-9902-exec-2][CollectController.java:69] - org.springframework.jdbc.UncategorizedSQLException:

### Error updating database.  Cause: java.sql.SQLException: sql injection violation, syntax error: syntax error, error in :'into collect_?(id,user_id,r',expect QUES, actual QUES collect_ : insert into collect_?(id,user_id,resource_id,resource_name,author,album,resource_type,create_time,update_time) values (uuid(),?,?,?,?,?,?,?,?)

### SQL: insert into collect_?(id,user_id,resource_id,resource_name,author,album,resource_type,create_time,update_time) values (uuid(),?,?,?,?,?,?,?,?)

### Cause: java.sql.SQLException: sql injection violation, syntax error: syntax error, error in :'into collect_?(id,user_id,r',expect QUES, actual QUES collect_ : insert into collect_?(id,user_id,resource_id,resource_name,author,album,resource_type,create_time,update_time) values (uuid(),?,?,?,?,?,?,?,?)

; uncategorized SQLException for SQL []; SQL state [null]; error code [0]; sql injection violation, syntax error: syntax error, error in :'into collect_?(id,user_id,r',expect QUES, actual QUES r1_mini_collect_ : insert into collect_?(id,user_id,resource_id,resource_name,author,album,resource_type,create_time,update_time) values (uuid(),?,?,?,?,?,?,?,?); nested exception is java.sql.SQLException: sql injection violation, syntax error: syntax error, error in :'into r1_mini_collect_?(id,user_id,r',expect QUES, actual QUES collect_ : insert into collect_?(id,user_id,resource_id,resource_name,author,album,resource_type,create_time,update_time) values (uuid(),?,?,?,?,?,?,?,?)

解决办法:将collect_#{tblNum}修改为collect_${tblNum}即可解决问题。

二、#与$的区别

Mybatis中的#与$的区别如下

  1. #将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号,所以我们在插入字符串的时候不需要加''或者“”,因为这个是#帮我们加上的。如:order by #{user_id},如果传入的值是123,那么解析成sql时的值为order by "123", 如果传入的值是id,则解析成的sql为order by "id".
  2. $将传入的数据直接显示生成在sql中,如:order by ${user_id},如果传入的值是123,那么解析成sql时的值为order by 123,  如果传入的值是id,则解析成的sql为order by id。
  3. #方式能够很大程度防止sql注入,$方式无法防止Sql注入。
  4. $方式一般用于传入数据库对象,例如传入表名。
  5. 一般能用#的就别用$. 。

参考文章:

https://blog.csdn.net/downkang/article/details/12499197

Mybatis中的#与$的区别的更多相关文章

  1. 【mybatis】mybatis中 的# 和 $的区别

    mybatis中 的# 和 $的区别 参考地址:https://www.cnblogs.com/sxdcgaq8080/p/10869144.html

  2. mybatis中的#和$的区别 以及 防止sql注入

    声明:这是转载的. mybatis中的#和$的区别 1. #将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号.如:order by #user_id#,如果传入的值是111,那么解析成sq ...

  3. [转]MyBatis中resultType与resultMap区别

    MyBatis中关于resultType和resultMap的具体区别如下: MyBatis中在查询进行select映射的时候,返回类型可以用resultType,也可以用resultMap.resu ...

  4. 【mybatis】从一个错误,看mybatis中的#和$的区别

    事情的发展是这样的: 因为一个需求,需要在java中拼接出一个完整的sql语句,然后将整条sql语句传递给mybatis执行. mapper.java是这样的: int insertMaster(Wo ...

  5. Mybatis中的#{}和${}的区别?

    1,首先Mybatis中的#{}与${}到底有什么区别? #{}:表示一个占位符号,通过#{}可以实现preparedStatement向占位符中设置值,自动进行java类型和jdbc类型转换,#{} ...

  6. 浅析mybatis中${}和#{}取值区别

    mybatis作为一个轻量级的ORM框架,应用广泛,其上手使用也比较简单:一个成熟的框架,必然有精巧的设计,值得学习. 在使用mybatis框架时,在sql语句中获取传入的参数有如下两种方式: ${p ...

  7. Mybatis中resultMap与resultType区别

    MyBatis中在查询进行select映射的时候,返回类型可以用resultType,也可以用resultMap,resultType是直接表示返回类型的,而resultMap则是对外部ResultM ...

  8. mybatis中#和$符号的区别

    mybatis做为一个轻量级ORM框架在许多项目中使用,因其简单的入门受到了广大开发者的热爱.在近期项目中再做一个相关的开发,碰到了#.$符号这样的问题,之前没怎么注意过,通过学习之后,有了点感悟,分 ...

  9. mybatis中#和$符号的区别(转)

    mybatis做为一个轻量级ORM框架在许多项目中使用,因其简单的入门受到了广大开发者的热爱.在近期项目中再做一个相关的开发,碰到了#.$符号这样的问题,之前没怎么注意过,通过学习之后,有了点感悟,分 ...

随机推荐

  1. v8随心记

    因为node原因,研究v8已经有段时间了,但是一直也没有抽空写点什么,现在想想有好多当时清晰的东西又模糊了.哎,伤心的很啊.但是一时又想不起什么章法,所以只能随手胡乱写了. 下载.编译: https: ...

  2. JNI 各类数据类型处理

    JNI和java数据类型转换: 1.基本数据类型下面一张表是描述了 Java 基本数据类型和JNI中基本数据类型的相对应关系已经占用空间大小. 随便观察就能发现,其实就基本数据类型而已,JNI基本数据 ...

  3. mybatis总结(三)之多表查询

    上一节,已经把实体类和配置文件都写过了,这节课直接添加几个方法吧 在DeptMapper.xml文件中添加 <!-- 多表查询(1对多) ,通过部门编号,查询出部门所在的员工姓名,部门名,部门编 ...

  4. Java线程之CompletionService批处理任务

    如果你向Executor提交了一个批处理任务,并且希望在它们完成后获得结果,怎么办呢? 为此你可以保存与每个任务相关联的Future,然后不断地调用 timeout为零的get,来检验Future是否 ...

  5. vue+webpack2实现路由的懒加载

    当打包构建应用时,Javascript 包会变得非常大,影响页面加载.如果我们能把不同路由对应的组件分割成不同的代码块,然后当路由被访问的时候才加载对应组件,这样就更加高效了. 结合 Vue 的异步组 ...

  6. IIS中,当文件夹被删除时,防止应用程序重启的解决办法

    如果你曾经修改了ASP.NET应用程序(dll文件),与修改了bin文件夹或Web.config文件(添加/删除/重命名的文件等),而该网 站在运行,你可能已经注意到,这将导致在AppDomain的重 ...

  7. js的等于号==的判断

    var str=0; str == "" 将返回true:

  8. 170411、java Socket通信的简单例子(UDP)

    服务端代码: package com.bobohe.socket; import java.io.*; import java.net.*; class UDPServer { public stat ...

  9. 5501环路运输【(环结构)线性DP】【队列优化】

    5501 环路运输 0x50「动态规划」例题 描述 在一条环形公路旁均匀地分布着N座仓库,编号为1~N,编号为 i 的仓库与编号为 j 的仓库之间的距离定义为 dist(i,j)=min⁡(|i-j| ...

  10. 关于redux适用的情况

    最近在包子在学习redux.redux是一个状态管理的东西.里面有状态树.最开始设计这个redux是为了方便去管理.因为随着web/移动端开发的越来越多元化,都是倾向于组件形式的.但是多个组件她们如果 ...