动力节点首页 全国咨询热线:400-8080-105

绑定手机号,登录
手机号

验证码

微信登录
手机号登录
手机号

验证码

微信登录与注册
微信扫码登录与注册

扫码关注微信公众号完成登录与注册
手机号登录
首页 > 文章

Mybatis中#{}与${}的区别

04-21 20:21 349浏览
举报 T字号
  • 大字
  • 中字
  • 小字

在开发中使用Mybatis经常使用到#{}与${},依旧有很多开发者对二者的使用不是很清晰,正所谓好记性不如烂笔头,特此总结一下。

在mybatis中动态 sql 是其主要特性之一,在 mapper 中定义的参数传到 xml 中之后,在执行操作之前 mybatis 会对其进行动态解析。mybatis 提供了两种支持动态 sql 的语法:#{} 以及 $ {},其最大的区别则是#{}方式能够很大程度防止sql注入(安全),${}方式无法防止Sql注入。什么??不懂什么是Sql注入?额。Sql注入指的是程序解析时会将你传入的参数作为原来SQL语句的一部分,打乱原来SQL的结构,而通常我们只是需要传入一个参数而已.

举个最简单的例子:一般开发,肯定是在前台有两个输入框,一个用户名,一个密码,会在后台里,读取前台传入的这两个参数,拼成一段SQL,例如: select count(1) from tab where usesr=userinput and pass = passinput,把这段SQL连接数据后,看这个用户名/密码是否存在,如果存在的话,就可以登陆成功了,如果不存在,就报一个登陆失败的错误。对吧。但是有这样的情况,这段SQL是根据用户输入拼出来,如果用户故意输入可以让后台解析失败的字符串,这就是SQL注入,例如,用户在输入密码的时候,输入 '''' ' or 1=1'', 这样,后台的程序在解析的时候,拼成的SQL语句,可能是这样的: select count(1) from tab where user=userinput and pass='' or 1=1; 看这条语句,可以知道,在解析之后,用户没有输入密码,加了一个恒等的条件 1=1,这样,这段SQL执行的时候,返回的 count值肯定大于1的,如果程序的逻辑没加过多的判断,这样就能够使用用户名 userinput登陆,而不需要密码。防止SQL注入,首先要对密码输入中的单引号进行过滤,再在后面加其它的逻辑判断,或者不用这样的动态SQL。

关于 # { }

  • #{}表示一个占位符号 相当于 jdbc中的 ? 符号,#{}实现的是向prepareStatement中的预处理语句中设置参数值,sql语句中#{}表示一个占位符即?
  • #{}将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:select * from user where id= #{user_id},如果传入的值是11,那么解析成sql时的值为where id="11" 。
  • 如果sql语句中只有一个参数,此时参数名称可以随意定义,如果sql语句有多个参数,此时参数名称应该是与当前表关联[实体类的属性名]或则[Map集合关键字],不能随便写,必须对应!

关于$ { }

  • $ {}将传入的数据直接显示生成在sql中。如:select * from user where id= $ {user_id},如果传入的值是11,那么解析成sql时的值为where id=11
  • $ {value}中value值有限制只能写对应的value值不能随便写,因为${}不会自动进行jdbc类型转换
  • 简单来说,在JDBC不支持使用占位符的地方,都可以使用${}

Mybatis中#{}与${}的区别

简单来说区别就是#{}方式能够很大程度防止sql注入(安全),${}方式无法防止Sql注入,在JDBC能使用占位符的地方,最好优先使用#{},在JDBC不支持使用占位符的地方,就只能使用${},典型情况就是动态参数。比如有两张表,分别是emp_2017 和 emp_2018 .如果需要在查询语句中 动态指定表名,就只能使用${}

<select>
      select *  from emp_ ${year}
<select>

再比如MyBatis排序时使用order by 动态参数时,此时也只能使用${}

<select>
       select  *  from dept order by ${name}
</select>

一般# {}与$ {}用的比较多的地方是模糊查询方面,所以下面来一个模糊查询的案例

使用#{}案例

1.映射文件:在User.xml配置文件中添加如下内容:

<!-- 如果返回多个结果,mybatis会自动把返回的结果放在list容器中 -->
<!-- resultType的配置和返回一个结果的配置一样 -->
<select id="queryUserByUsername1" parameterType="string" resultType="cn.mybatis.pojo.User">
    ELECT * FROM `user` WHERE username LIKE #{username}
</select>

2.测试程序:MybatisTest中添加测试方法如下:

@Test
public void testQueryUserByUsername1() throws Exception {
   // 4. 创建SqlSession对象
   SqlSession sqlSession = sqlSessionFactory.openSession();

   // 5. 执行SqlSession对象执行查询,获取结果User
   // 查询多条数据使用selectList方法
   List<Object> list = sqlSession.selectList("queryUserByUsername1", "%王%");

   // 6. 打印结果
   for (Object user : list) {
      System.out.println(user);
   }

   // 7. 释放资源
   sqlSession.close();
}

使用$ {}案例

1.映射文件:在User.xml配置文件中添加如下内容:

<!-- 如果传入的参数是简单数据类型,${}里面必须写value -->
<select id="queryUserByUsername2" parameterType="string" resultType="cn.itcast.mybatis.pojo.User">
    SELECT * FROM `user` WHERE username LIKE '%${value}%'
</select>

2.测试程序::MybatisTest中添加测试方法如下:

@Test
public void testQueryUserByUsername2() throws Exception {
    // 4. 创建SqlSession对象
    SqlSession sqlSession = sqlSessionFactory.openSession();

    // 5. 执行SqlSession对象执行查询,获取结果User
    // 查询多条数据使用selectList方法
    List<Object> list = sqlSession.selectList("queryUserByUsername2", "王");

    // 6. 打印结果
    for (Object user : list) {
        System.out.println(user);
    }

    // 7. 释放资源
    sqlSession.close();
}

当然两个案例效果一致!

0人推荐
共同学习,写下你的评论
0条评论
代码小兵669
程序员代码小兵669

6篇文章贡献30667字

相关课程 更多>

作者相关文章更多>

推荐相关文章更多>

Java面试题及答案整理

代码小兵66904-21 20:01

6道经典算法面试题

杨晶珍05-12 16:39

深入理解JVM虚拟机

杨晶珍05-12 17:30

简述Spring MVC的核心组件

代码小兵49806-11 16:26

SpringMVC 中的组件

代码小兵49806-11 16:28

发评论

举报

0/150

取消