Mybatis mapper.xml里面${} 和 #{}区别与用法
Mybatis 的Mapper.xml语句中parameterType向SQL语句传参有两种方式:#{}和${}#{}方式能够很大程度防止sql注入。$方式无法防止Sql注入。$方式一般用于传入数据库对象,例如传入表名.一般能用#的就别用$.#{}表示一个占位符即?,可以有效防止sql注入。在使用时不需要关心参数值的类型,mybatis会自动进行java类型和jdbc类型的转换。#{}可以接收简单
Mybatis 的Mapper.xml语句中parameterType向SQL语句传参有两种方式:#{}和${}
- #{}方式能够很大程度防止sql注入。
- $方式无法防止Sql注入。
- $方式一般用于传入数据库对象,例如传入表名.
- 一般能用#的就别用$.
#{}表示一个占位符即?,可以有效防止sql注入。在使用时不需要关心参数值的类型,mybatis会自动进行java类型和jdbc类型的转换。
#{}可以接收简单类型值或pojo属性值,如果传入简单类型值,#{}括号中可以是任意名称。
${}可以将parameterType 传入的内容拼接在sql中且不进行jdbc类型转换。
可
以
接
收
简
单
类
型
值
或
p
o
j
o
属
性
值
,
如
果
传
入
简
单
类
型
值
,
{}可以接收简单类型值或pojo属性值,如果传入简单类型值,
可以接收简单类型值或pojo属性值,如果传入简单类型值,{}括号中名称只能是value。
select * from goods
<if test="orderArgs!=null">
order by #{orderArgs}
</if>
结果没有任何效果。最后把 #{} 改成 ${},结果正确。
动态 SQL 是 mybatis 的强大特性之一,也是它优于其他 ORM 框架的一个重要原因。mybatis 在对 sql 语句进行预编译之前,会对 sql 进行动态解析,解析为一个 BoundSql 对象,也是在此处对动态 SQL 进行处理的。在动态 SQL 解析阶段, #{ } 和 ${ } 会有不同的表现。
select * from goods order by #{orderArgs};
#{} 在动态解析的时候, 会解析成一个参数标记符。就是解析之后的语句是:
select * from goods order by ?;
#{}在代入参数时,自动在参数前后加上字符串,最终形成的SQL语句就成了:
select * from goods order by “price”,参数本来是列名,现在变成了一个字符串,结果自然不正确了。
那么我们使用 ${}的时候
select * from goods order by ${orderArgs};
${}在动态解析的时候,会将我们传入的参数当做String字符串填充到我们的语句中,就会变成下面的语句
selecxt * from goods order by price
预编译之前的 SQL 语句已经不包含变量了,完全已经是常量数据了。相当于我们普通没有变量的sql了,加了双引号,参数变成了一个字符串。
综上所得, ${ } 变量的替换阶段是在动态 SQL 解析阶段,而 #{ }变量的替换是在 DBMS 中。
对于order by排序,使用#{}将无法实现功能,应该写成如下形式:
ORDER BY ${columnName}
另外,对于mybatis逆向工程生成的代码中,进行模糊查询调用andXxxLike()方法时,需要手动加%,如下:
CustomerExample customerExample=new CustomerExample();
customerExample.or().andNameLike("%"+name+"%");
转载自https://blog.csdn.net/GoldWashing/article/details/82701212
华为开发者空间,是为全球开发者打造的专属开发空间,汇聚了华为优质开发资源及工具,致力于让每一位开发者拥有一台云主机,基于华为根生态开发、创新。
更多推荐
2
0- 0
已为社区贡献1条内容
所有评论(0)