mybatis中什么情况下必须使用 ${},#{}与${}的区别
在mybatis中如果我们使用#{}的方式编写的sql时,#{} 对应的变量自动加上单引号 ' '例如:select * from #{param}当我们给参数传入值为user时,他的sql是这样的:select * from 'user'参数user上会带着单引号,而单引号在mysql中会被识别为字符串,select一个字符串肯定是会报错的。而如果我们使用${}的方式编写的sql时,${} 是进
·
在mybatis中如果我们使用#{}的方式编写的sql时,#{} 对应的变量自动加上单引号 ' '
例如:
select * from #{param}当我们给参数传入值为user时,他的sql是这样的:
select * from 'user'参数user上会带着单引号,而单引号在mysql中会被识别为字符串,select一个字符串肯定是会报错的。
而如果我们使用${}的方式编写的sql时,${} 是进行sql拼接,${} 对应的变量是不会被加上单引号 ' ' 的。
select * from ${param}输出的sql为
select * from user
总结一下,就是当我们需要拼接的变量上不能带单引号时,就必须使用${},其他情况都尽量使用#{}的方式,因为${}会有sql注入的问题。
常见的使用${}的情况:
1.当sql中表名是从参数中取的情况
2.order by排序语句中,因为order by 后边必须跟字段名,这个字段名不能带引号,如果带引号会被识别会字符串,而不是字段。
华为开发者空间,是为全球开发者打造的专属开发空间,汇聚了华为优质开发资源及工具,致力于让每一位开发者拥有一台云主机,基于华为根生态开发、创新。
更多推荐
16
1- 0
已为社区贡献8条内容
所有评论(0)