Mybatis中#{}与${}的区别

发布时间:2024年01月19日

sql注入

Sql注入指的是程序解析时会将你传入的参数作为原来SQL语句的一部分,打乱原来SQL的结构,而通常我们只是需要传入一个参数而已.
防止SQL注入,首先要对密码输入中的单引号进行过滤,再在后面加其它的逻辑判断,或者不用这样的动态SQL拼

#{}

#{}表示一个占位符号 相当于 jdbc中的·? 符号
#{}实现:向prepareStatement中的预处理语句中设置参数值,sql语句中#{}表示一个占位符即?
#{}将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:select * from user where id= #{user_id},如果传入的值是11,那么解析成sql时的值为where id=“11” ,

如果sql语句中只有一个参数,此时参数名称可以随意定义.
如果sql语句有多个参数,此时参数名称应该是与当前表关联[实体类的属性名]或则[Map集合关键字],不能随便写,必须对应!在这里插入图片描述

${}

${}将传入的数据直接显示生成在sql中。
如:select * from user where id= $ {user_id},如果传入的值是11,那么解析成sql时的值为where id=11

$ {value}中value值有限制,只能写对应的value值不能随便写,因为${}不会自动进行jdbc类型转换。
简单来说,在JDBC不支持使用占位符的地方,都可以使用${}

#{}与${}区别

在JDBC能使用占位符的地方,最好优先使用#{}
在JDBC不支持使用占位符的地方,就只能使用${},典型情况就是 动态参数
比如 有两张表,分别是emp_2017 和 emp_2018 .如果需要在查询语句中 动态指定表名,就只能使用${}

<select>
      select *  from emp_ ${year}
<select>

再比如MyBatis 排序时使用order by 动态参数时,此时也只能使用${}

<select>
       select  *  from dept order by ${name}
</select>
文章来源:https://blog.csdn.net/m0_53098280/article/details/135695492
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。