学习目录
1.#占位符
MyBatis处理 #{ } 占位符,使用的 JDBC 对象是 PreparedStatement 对象,执行sql语句的效率更高。
使用 PreparedStatement 对象,能够避免 sql 注入,使得sql语句的执行更加安全。
#{ } 常常作为列值使用,位于sql语句中等号的右侧;#{ } 位置的值与数据类型是相关的。
2 ¥占位符
MyBatis处理 ${ } 占位符,使用的 JDBC 对象是 Statement 对象,执行sql语句的效率相对于 #{ } 占位符要更低。
${ } 占位符的值,使用的是字符串连接的方式,有 sql 注入的风险,同时也存在代码安全的问题。
${ } 占位符中的数据是原模原样的,不会区分数据类型,。
${ } 占位符常用作表名或列名,这里推荐在能保证数据安全的情况下使用 $
3 二者区别
Mybatis 在处理 #{}时候 会被替换成?号 调用 PreparedStatement 的set方法
Mybatis在处理 ${}时候 会成为变量的取值
4问题解决方案
1.一般在xml中写法规范 #{}都可以传入值,但如果没有值 就自己找下问题(新增举例)
<!--新增所有列-->
<insert id="insert" keyProperty="id" useGeneratedKeys="true">
insert into ebook_entry(title, summary, upload, date)
values ( #{title}, #{summary}, #{upload}, #{date})
</insert>
2.需要值一一对应 才可以 但有时候你没有值怎么解决?
3.当你使用#{}没有值的情况 使用 '${}' 因为值没有类型
3.1当你使用${}的时候不加入‘’ 只有不是数值类型的都会报错
3.2 改进一下都使用'${}' ${}是拼接(数值类型无需加’‘)
<!--新增所有列-->
<insert id="insert" keyProperty="id" useGeneratedKeys="true">
insert into ebook_entry(cateid,title, summary, upload, date)
values (${cateid},'${title}', '${summary}', '${upload}', '${date}')
</insert>
3.3可以看出已经成功 在进入提交中转换成了VARCHAR类型
4总结
在会用#{}的情况用#号 ,一般出问题都是你的代码有问题,${}不安全 切记!!!