# 占位符
mybatis处理#{} 使用jdbc对象是 PrepareStatment对象
<select id="selectById" parameterType="integer"
resultType="com.bjpowernode.domain.Student">
select id,name,email,age from student where id=#{studentId}
</select>mybatis出创建PrepareStatement对象,执行sql语句
String sql=" select id,name,email,age from student where id=?";
PrepareStatement pst = conn.prepareStatement(sql);
pst.setInt(1,1001); //传递参数
ResultSet rs = pst.executeQuery(); //执行sql语句
#{}特点:
- 使用的PrepareStatement对象,效率高。能避免sql语句, sql语句执行更安全。
- #{} 常常作为 列值使用的, 位于等号的右侧, #{}位置的值和数据类型有关的。
$ 占位符:
mybatis执行${}占位符的sql语句
<select id="selectById" parameterType="integer"
resultType="com.bjpowernode.domain.Student">
select id,name,email,age from student where id=${studentId}
</select>${} 表示字符串连接, 把sql语句的其他内容和 ${}内容使用 字符串(+) 连接的方式连在一起
String sql="select id,name,email,age from student where id=" + "1001";mybatis创建Statement对象, 执行sql语句。
Statement stmt = conn.createStatement(sql);
ResultSet rs = stmt.executeQuery();
可以在pom.xml中引用版本号
${} 的特点:
- 使用Statement对象,执行效率低,使用的字符串连接方式, 有sql注入的风险。 有代码安全的问题
- ${} 数据是原样使用的(传到Mapper层是什么就是什么数据), 不会区分数据类型。
- ${} 常用作数据库表名或列名使用, 在能保证数据安全的情况下使用 ${}