运维开发网

Mybatis中#{}和${}代表什么含义,有什么区别?

运维开发网 https://www.qedev.com 2020-04-03 19:01 出处:51CTO 作者:熊熊爬楼梯
先来看一下#{},在mybatis中:<mappernamespace="cn.xh.dao"><selectid="getCount"parameterType="String"resultType="int">selectcount(*)fromuserwhereage=#{value}&l

先来看一下#{},在mybatis中:

<mapper namespace="cn.xh.dao">

<select id="getCount" parameterType="String" resultType="int">

select count() from user where age = #{value}

</select>

</mapper>

#{value}会被传入的内容替换,替换的时候将传入的内容当成字符串,加上引号:例如传入的内容为23,sql语句会变为select count() from user where age= ‘23’

这里是运行日志:

从日志可以看出实际上是相当于执行了这段代码:

String sql = "select count(*) from user where age = ?";

preparedStatement = connection.prepareStatement(sql);

preparedStatement.setString(1, “23”);

通过调用preparedStatement的setString方法传入参数可以防止sql注入,安全性更高。如果只传入一个参数该参数的名字可以随意取。

再来看一下${}:

<mapper namespace="cn.xh.dao">

<select id="getCount" parameterType="String" resultType="int">

select count() from ${value}

</select>

</mapper>

${value}会被传入的内容替换,注意此处是直接替换,不会加上引号。例如传入的内容为 user 则sql语句变为:select count() from user

看运行日志:

从运行日志可以看出这里是直接拼接字符串。

总结一下#{}和${}之间的区别:

#{}:传入的内容会被作为字符串,被加上引号,以预编译的方式传入,安全性高,可以防止sql注入。

${}:传入的内容会直接拼接,不会加上引号,可能存在sql注入的安全隐患。

所以能用#{}的地方就用#{},但是诸如传入表名,需要排序的时候order by 字段 的 “字段名”的时候可以用${}.

0

精彩评论

暂无评论...
验证码 换一张
取 消