关于Mybatis中的#{}
和${}
这2种格式的占位符
1、关于#{}占位符
- 使用JDBC的对象PreparedStatement(这点很重要)避免sql注入,执行安全
- #{}作为列值使用,在sql语句的 = 右侧
- #{}位置的值和数据类型相关
2、关于${}占位符
- 使用JDBC的对象Statement(这点很重要)
- ${ } 占位符的值,使用的是字符串拼接的方式,有 sql 注入的风险,同时也存在代码安全的问题
- ${ } 占位符中的数据是原模原样的,不会区分数据类型
3、关于PreparedStatement和Statement
- 两个都是sql查询语句的API
- preparedstatement接口继承了statement接口
- 有什么区别?
- statement不对sql语句做处理,直接交给数据库
prepraedstatement支持预编译,会将编译好的sql语句放在数据库端,相当于缓存,可以提高多次重复执行的sql语句效率 - sql语句通常会大量执行,必然会产生大量的statement或者preparedstatement对象,当然使用后者更划算
- statement的sql语句使用字符串拼接的方式
preparedstatement使用“?”占位符
4、示例讲解
<select id="getStandardById" resultMap="StandardResultMap">
SELECT
username,password,gender,partment
FROM
ams_admin
WHERE
username=#{username}
</select>
- 使用 username=#{username}:
- 如果传入的username类型为字符型,比如输入tom,那么 username=#{username} 表示的就是 username=”tom”
- 如果传入类型为数值类型,比如输入11,那么username=#{username},表示的就是 username=”11”。
- 使用 username=${username}:
- 如果传入的username类型为整型类型,那么在执行sql语句时就不会出错
- 但是如果传入的username类型为字符串型,比如输入tom,那么 username=${username} 表示的就是 username=zhangsan,执行会报错
- 所以sql语句必须写成这样:username=‘ ${username} ’