iBATIS的绑定变量有两种方式,#value#方式和$value$方式
1.#value#方式:
例如语句SELECT * FROM emp WHERE emp_no = #value#
实际执行时,iBATIS会使用prepareStatement方式,执行语句SELECT * FROM emp WHERE emp_no = ?,并将对应的参数值设置为value。这种方式下操作符是写在SQL Map中的,可以避免SQL注入的风险,非常安全。
2.$value$方式:
例如语句SELECT * FROM emp WHERE $value$
这种方式常用于构建动态SQL语句,如在本例中,假设value值为emp_no in (1,2,3),则实际执行时,iBATIS会执行语句SELECT * FROM emp WHERE emp_no in (1,2,3)。这种方式下操作符是传入的,存在SQL注入的风险,不安全。
实际使用中,对于根据条件查询的方式,推荐在sqlMapConfig中使用动态语句的方式实现,如下所示:
<select id="searchUser" resultClass="user" parameterClass="map">
select id,userName,score,regDate,loginTime
from demo_user where 1=1
<dynamic>
<isNotNull property="username" prepend="and">
userName like #username#
</isNotNull>
<isNotNull property="fromid" prepend="and">
id <![CDATA[>=]]> #fromid#
</isNotNull>
<isNotNull property="toid" prepend="and">
id <![CDATA[<=]]> #toid#
</isNotNull>
</dynamic>
</select>
相对$value$方式而言,这种方式比较麻烦,但是从效率和安全的角度考虑是合适的。
本文来自CSDN博客,转载请标明出处:http://blog.csdn.net/zhouxianli/archive/2008/07/28/2723593.aspx