Mybatis中的${}和#{}区别

一、${}与#{}的区别
1、符号类型

(1)#{}:参数占位符,即预编译
(2)${} :字符串替换符,即SQL拼接
2、防注入问题

(1)#{}:很大程度上能防止sql 注入
(2)${}:不能防止sql 注入
3、参数替换位置

DBMS:数据库管理系统(Database Management System)是一种操纵和管理数据库的大型软件,是用于建立、使用和维护数据库,简称DBMS。它对数据库进行统一的管理和控制,以保证数据库的安全性和完整性。用户通过DBMS访问数据库中的数据,数据库管理员也通过DBMS进行数据库的维护工作。它提供多种功能,可使多个应用程序和用户用不同的方法在同时或不同时刻去建立,修改和询问数据库。

(1)#{}:变量替换是在DBMS 中
(2)${}:变量替换是在 DBMS 外
4、参数解析

(1)#{}:将传入的数据都当成一个字符串,会对传入的变量自动加一个单引号。如:user_id = #{userId},如果传入的值是111,那么解析成sql时的值为user_id = ‘111’,如果传入的值是id,则解析成的sql为user_id = ‘id’。

(2)${}:将传入的参数直接显示生成在sql中,且不加任何引号。如:user_id = ${userId},如果传入的值是111,那么解析成sql时的值为user_id = 111 , 如果传入的值是id,则解析成的sql为user_id = id。
5、用$的情况

(1)MyBatis排序时使用order by 动态参数时需要注意,用$而不是#

默认情况下,使用#{}格式的语法会导致MyBatis创建预处理语句属性并以它为背景设置安全的值(比如?)。这样做很安全,很迅速也是首选做法,有时你只是想直接在SQL语句中插入一个不改变的字符串。比如,像ORDER BY,你可以这样来使用:
ORDER BY ${columnName},这里MyBatis不会修改或转义字符串。

(2)${}方式一般用于传入数据库对象,例如传入表名

Select  *  from  ${tableName}  where  user_id = #{userId}

6、sql执行过程

可参考“二”部分的案例
(1)#{}:编译好SQL后语句再去取值
(2)${}:取值以后再去编译SQL语句
7、一般能用#的就别用$
二、SQL解析
1、流程

(1)#{}:动态解析 -> 预编译 -> 执行
(2)${}:动态解析 -> 编译 -> 执行
2、案例

根据用户名name查询用户表user数据,如果 name 的值为 zhangsan
(1)SQL编写
#{}

select * from user where name = #{name};

${}

select * from user where name = ${name};

(2)(预)编译中的处理
#{}:在预处理时,会把参数用一个占位符" ?" 代替,变成以下SQL

select * from user where name = ?;

${}:只是简单的字符串替换,在动态解析时变成以下SQL

select * from user where name = 'zhangsan';

当然了,最后的解析结果是一样的,都是

select * from user where name = 'zhangsan';

  • 1
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值