mybatis中"#{}"和"${}"的区别

动态 sql 是 mybatis 的主要特性之一,在 mapper 中定义的参数传到 xml 中之后,在查询之前 mybatis 会对其进行动态解析。mybatis 为我们提供了两种支持动态 sql 的语法:#{} 以及 ${} 。

1、#相当于对数据 加上 双引号,$相当于直接显示数据。

2、#{} : 根据参数的类型进行处理,比如传入String类型,则会为参数加上双引号。#{} 传参在进行SQL预编译时,会把参数部分用一个占位符 ? 代替,这样可以防止 SQL注入。

3、${} : 将参数取出不做任何处理,直接放入语句中,就是简单的字符串替换,并且该参数会参加SQL的预编译,需要手动过滤参数防止 SQL注入。

4、因此 mybatis 中优先使用 #{};当需要动态传入 表名或列名时,再考虑使用 ${} , ${}比较特殊,他的应用场景是需要动态传入表名或列名时使用,MyBatis排序时使用orderby动态参数时需要注意,用$而不是#。

例如:
1、#对传入的参数视为字符串,也就是它会预编译,select * from user where user_name=${rookie},比如我传一个rookie,那么传过来就是 select * from user where user_name = ‘rookie’;

2、$不会将传入的值进行预编译, select * from user where user_name= ${rookie} ,那么传过来的sql就是:select * from user where user_name=rookie;

3、#优势在于它能很大程度防止sql注入,$ 不行。比如:用户进行一个登录操作,后台sql验证式样的:
select * from user where user_name=#{name} and password = #{pwd},如果前台传来的用户名是“rookie”,密码是 “1 or 2”,用#的方式就不会出现sql注入,换成用$ 方式,sql语句就变成了 select * from user where user_name=rookie and password = 1 or 2。这样的话就形成了sql注入。

区别
#和$的区别:
1、
#是预编译的方式,
$是直接拼接;

2、
#不需要关注数据类型,mybatis实现自动数据类型转换;
$不做数据类型转换,需要自行判断数据类型;

3、
#可以防止sql注入;
$不能防止sql注入;

4、
如果只有一个参数,默认情况下,
#{}中可以写任意的名字;
${}中只能用value来接收。

谢谢你请我吃糖果

扫一扫,分享到微信

微信分享二维码

tag:

    缺失模块。
    1、请确保node版本大于6.2
    2、在博客根目录(注意不是yilia根目录)执行以下命令:
    npm i hexo-generator-json-content --save

    3、在根目录_config.yml里添加配置: 

      jsonContent:
    meta: false
    pages: false
    posts:
      title: true
      date: true
      path: true
      text: false
      raw: false
      content: false
      slug: false
      updated: false
      comments: false
      link: false
      permalink: false
      excerpt: false
      categories: false
      tags: true

<h1>一天一点点</h1>