1、#可以进行预编译,进行类型匹配,#变量名# 会转化为 jdbc 的 ?
$不进行数据类型匹配,$变量名$就直接把 $name$替换为 name的内容
例如:
select * from tablename where id = #id# ,其中如果字段id为字符型,那么#id#表示的就是'id'类型,如果id为整型,那么#id#就是id类型
会转化为jdbc的 select * from tablename where id=?,把?参数设置为id的值
select * from tablename where id = $id$ ,如果字段id为整型,Sql语句就不会出错,但是如果字段id为字符型,
那么Sql语句应该写成 select * from table where id = '$id$'
如果id为 "' ' or 1 = 1", 那么这样就有可能导致sql注入,所以ibatis用#比$好,不会造成sql注入
2、ibatis中的参数传入的值参数比较多,最好用bean方式传入,
也就是通过set/get取值的方式给sql map注入参数,不要用hashmap结构传入,
每次用hashmap传入会占用比较多的内容。如果参数少,用hashmap也比较方便简单。
但是对传入参数的判断,用bean方式比较容易检测发现,配置也能够统一配置。
3、#方式能够很大程度防止sql注入.
4、$方式无法方式sql注入.
5、$方式一般用于传入数据库对象.例如传入表名.
6、一般能用#的就别用$.
在做in,like 操作时候要特别注意
$不进行数据类型匹配,$变量名$就直接把 $name$替换为 name的内容
例如:
select * from tablename where id = #id# ,其中如果字段id为字符型,那么#id#表示的就是'id'类型,如果id为整型,那么#id#就是id类型
会转化为jdbc的 select * from tablename where id=?,把?参数设置为id的值
select * from tablename where id = $id$ ,如果字段id为整型,Sql语句就不会出错,但是如果字段id为字符型,
那么Sql语句应该写成 select * from table where id = '$id$'
如果id为 "' ' or 1 = 1", 那么这样就有可能导致sql注入,所以ibatis用#比$好,不会造成sql注入
2、ibatis中的参数传入的值参数比较多,最好用bean方式传入,
也就是通过set/get取值的方式给sql map注入参数,不要用hashmap结构传入,
每次用hashmap传入会占用比较多的内容。如果参数少,用hashmap也比较方便简单。
但是对传入参数的判断,用bean方式比较容易检测发现,配置也能够统一配置。
3、#方式能够很大程度防止sql注入.
4、$方式无法方式sql注入.
5、$方式一般用于传入数据库对象.例如传入表名.
6、一般能用#的就别用$.
在做in,like 操作时候要特别注意
mysql: select * from user where user_name like concat('%',#name#,'%')
oracle: select * from user where user_name like '%'||#name#||'%'
sql server:select * from user where user_name like '%'+#name#+'%'