欢迎来到本站
0

Mybatis中#{}与${}的区别

2023.05.25 | along | 22729次围观

前言

在开发中使用Mybatis经常使用到#{}与${},依旧有很多开发者对二者的使用不是很清晰,正所谓好记性不如烂笔头,特此总结一下。


在mybatis中动态 sql 是其主要特性之一,在 mapper 中定义的参数传到 xml 中之后,在执行操作之前 mybatis 会对其进行动态解析。mybatis 提供了两种支持动态 sql 的语法:#{} 以及 $ {},其最大的区别则是#{}方式能够很大程度防止sql注入(安全),${}方式无法防止Sql注入。


关于 # { }

1、#{}表示一个占位符号 相当于 jdbc中的 ? 符号

#{}实现的是向prepareStatement中的预处理语句中设置参数值,sql语句中#{}表示一个占位符即?


2、#{}将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:select * from user where id= #{user_id},如果传入的值是11,那么解析成sql时的值为where id="11" ,


3、如果sql语句中只有一个参数,此时参数名称可以随意定义

如果sql语句有多个参数,此时参数名称应该是与当前表关联[实体类的属性名]或则[Map集合关键字],不能随便写,必须对应!



关于$ { }

1、$ {}将传入的数据直接显示生成在sql中。如:select * from user where id= $ {user_id},如果传入的值是11,那么解析成sql时的值为where id=11


2、$ {value}中value值有限制只能写对应的value值不能随便写,因为${}不会自动进行jdbc类型转换


3、简单来说,在JDBC不支持使用占位符的地方,都可以使用${}


Mybatis中#{}与${}的区别

简单来说区别就是


#{}方式能够很大程度防止sql注入(安全),${}方式无法防止Sql注入


在JDBC能使用占位符的地方,最好优先使用#{}


在JDBC不支持使用占位符的地方,就只能使用${},典型情况就是 动态参数


版权声明

本文仅代表作者观点,不代表xx立场。
本文系作者授权xxx发表,未经许可,不得转载。

发表评论