mybatis中动态添加
sql:select * from user t1
<where>
<if test="id != null and id != ''">
and t1.ID =#{id}
</if>意思是如果id不为空并且不等于空字符串,将里面的内容拼到前面的sql中,相当于java代码:
if(id!=null&id!=""){
sql. append(t1.getId()="+id+")
}
如果使用#{id},他对传过来的参数提前给了个 占位符" ",这样可以防止对sql的攻击
再看如果
<if test="id != null and id != ''">
and t1.ID =${id}它就相当于
if(id!=null&id!=""){
sql. append(t1.getId()=id)
}
这样你的id就可以随便写:比如 id;insert into user valuse(?,...),拼接后的语句:select * from user t1 where t1.id=id;insert into user valuse(?,...);
这样你就可以越过系统检验,直接添加用户,并且登陆后随便操作.造成很大的不安全,所以经常使用#。
$可以传一些integer,double类型,比如价格,年龄等具体数据