在MyBatis的使用过程当中,使用参数进行sql拼装经常会使用到#{var}和${var}这两种参数的设置方式。
两种情况在sql拼装的过程中都会使用的到,下面是两种方式的不用之处:
#{var}:
- 使用预编译的方式将参数设置到sql语句当中(相当于占位符 ?)
- 使用的是原生jdbc中的prepareStatrment
- 能够在一定程度上防止sql注入的风险(无法避免%的问题)
${var}
- 不适用预编译模式
- 去除相应的值直接拼装到sql语句当中
- 会有sql注入的安全问题
由上面的一些不同,所以我们在平时的大多数情况下都应该去使用#{var}进行参数值的获取。
但是在一些原生jdbc不支持占位符的地方,我们就不能使用#{var}的形式去进行取值,这样会导致执行sql的时候报错
比如月表、年表,排序方式等特殊的情况,都需要我们使用${var}的形式直接取值进行字符串的拼接
select XXX from ${year}_${month}_XXX where id = XXX order by ${columnName} ${order}一般情况下,能用#{var}的时候尽量使用#{var},不仅是因为它能够一定程度上保证安全,而且#{var}在使用方法上有更多的功能:
- 在使用#{var}的时候可以规定参数的一些规则:
javaType、jdbcType(也可以使用mybatis中的ejdbcTypeForNull属性来指定)、mode(存储过程)、numericSale(小数位)、resultMap、typeHandler、jdbcTypeName
扫一扫
949
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
