在使用Mybatis配置SQL语句时,SQL语句中的参数可以使用#{}格式的占位符,例如
<select id="getStandardById" resultMap="StandardResultMap">
SELECT
<include refid="StandardQueryFields"/>
FROM
pms_album
WHERE
id=#{id}
</select>
其实,还可以使用${}占位符!
以上配置,使用#{}或${}格式的占位符均可以正常通过测试!
另外,再使用一段代码进行测试:
SELECT count(*) FROM pms_album WHERE name=#{name}
以上代码,使用#{}格式的占位符可以正常通过测试,但是,使用${}格式的占位符则会出现错误:
错误的原因是使用${}占位符,SQL语句中将测试参数‘name’的值作为了列名(字段名)
其实,在SQL语句中,除了关键字,数值,运算符,函数等非常固定的内容以外,所有的内容都会被视为某个名字,例如:表名,字段名或其他自定义的名称(例如索引名等),比较典型的应用,例如:
update bank_account set money = money + 1000 where id = 1;
以上SQL语句的意思大致是:将id=1的账户的余额在现有基础之上增加1000.
可以看到,在以上set money=money+1000部分的代码片段中,等号右侧的money会被视为“字段名!”
为了避免MySQL把‘name’视为字段名,必须在‘name’的两侧添加一对单引号,例如
SELECT count(*) FROM pms_album WHERE name='${name}'
或者,在测试数据的两侧添加一对单引号也是可以的:
String name="'小米'";
所以,在SQL语句中,只有将值使用一对双引号框住(数值除外),才会被认为是“值”!
在MySQL处理SQL语句时,会经过词法分析,语义分析,然后再执行编译,最终执行!
在Mybatis中,使用#{}格式的占位符,在底层实现时,会使用预编译(在编译时与参数值无关)的处理机制,值i将会执行再带入!由于采用了预编译的做法,所有值都不用考虑数据类型的问题,例如,不需要给字符串类型的值添加一对单引号,并且,预编译是安全的,不会出现SQL注入问题,这种做法中,#{}占位符只能表示SQL语句中的某个值,而不能表示其它内容!
使用${}格式的占位符,在底层实现时,会先将值拼接到原SQL语句中,然后再执行编译的相关流程!由于不是预编译的,字符串,日期等类型的值需要添加一对单引号,否则,将被视为字段名,运算表达式等,由于是先带入值再执行编译相关的流程,所以,代入得值是可以改变语义的,是存在SQL注入风险的!这种做法中,${}占位符可以表示SQL语句中的任何片段,只需要保证拼接起来后可以通过编译即可!