起因:在自己连接数据库,完成数据库配置文件后,发现,配置文件未变色,数据库无法连接,仔细检查后发现原来时${}和#{}用法出现了错误,仔细检查后发现用法出现错误:
<bean id="dataSource" class="com.mchange.v2.c3p0.ComboPooledDataSource">
<property name="driverClass" value="#{jdbc.driver}"/>
<property name="jdbcUrl" value="#{jdbc.url}"/>
<property name="user" value="#{jdbc.username}"/>
<property name="password" value="#{jdbc.password}"/>
导致数据库配置文件无法连接,正确写法:
<property name="driverClass" value="${jdbc.driver}"/>
<property name="jdbcUrl" value="${jdbc.url}"/>
<property name="user" value="${jdbc.username}"/>
<property name="password" value="${jdbc.password}"/>
细探${}和#{}的本质:
${}:
是
做
s
q
l
拼
接
,
有
s
q
l
注
入
的
隐
患
,
表
示
一
个
拼
接
符
,
会
引
起
s
q
l
注
入
,
是做sql拼接,有sql注入的隐患,表示一个拼接符,会引起sql注入,
是做sql拼接,有sql注入的隐患,表示一个拼接符,会引起sql注入,{}是字符串替换;
1.
接
收
输
入
参
数
,
类
型
可
以
是
简
单
类
型
,
p
o
j
o
,
H
a
p
M
a
p
;
2.
如
果
是
接
收
简
单
类
型
,
{}接收输入参数,类型可以是简单类型,pojo,HapMap; 2.如果是接收简单类型,
接收输入参数,类型可以是简单类型,pojo,HapMap;2.如果是接收简单类型,{}中只能写Value;
3.${}接收pojo对象值,通过OGNL读取对象中的属性值,通过属性.属性.属性…的方式获取队形属性值;
#{}:#是占位符,会对sql进行预编译,相当于?;#{}是预编译处理;
1.#{}接受输入参数,类型可以为简单类型、pojo、HashMap;
2.如果接受简单类型,#{}中可以写成value或其他名称。
3.#{}接受pojo对象值,通过OGNL读取对象中的属性值,通过属性.属性.属性…的方式获取队形属性值。
细探KaTeX parse error: Expected 'EOF', got '#' at position 4: {}和#̲{}的联系: (1):两者都支…{},列如表名称的变化
理解记忆:
(1)$ 符号一般用来当作占位符,常使用Linux脚本的同学应该对此有更深的体会吧。既然是占位符,当然就是被用来替换的。知道了这点就能很容易区分$和#,从而不容易记错了。
(2)预编译的机制。预编译是提前对SQL语句进行预编译,而其后注入的参数将不会再进行SQL编译。我们知道,SQL注入是发生在编译的过程中,因为恶意注入了某些特殊字符,最后被编译成了恶意的执行操作。而预编译机制则可以很好的防止SQL注入。在某些特殊场合下只能用${},不能用#{}。例如:在使用排序时ORDER BY ${id},如果使用#{id},则会被解析成ORDER BY “id”,这显然是一种错误的写法。
示例讲解
<select id="selectPerson" parameterType="int" resultType="hashmap">
SELECT * FROM PERSON WHERE ID = #{id}
</select>
这个语句名为 selectPerson,接受一个 int(或 Integer)类型的参数,并返回一个 HashMap 类型的对象,其中的键是列名,值便是结果行中的对应值。
注意参数符号:#{id}
这就告诉 MyBatis 创建一个预处理语句(PreparedStatement)参数,在 JDBC 中,这样的一个参数在 SQL 中会由一个“?”来标识,并被传递到一个新的预处理语句中,就像这样:
// 近似的 JDBC 代码,非 MyBatis 代码…
String selectPerson = "SELECT * FROM PERSON WHERE ID = ?";
PreparedStatement ps = conn.prepareStatement(selectPerson);
ps.setInt(1,id);