MyBatis/Ibatis中#和$的区别
这两个符号在mybatis中最直接的区别就是:#相当于对数据加上单引号,$相当于直接显示数据(只讨论字符串类型的),个人理解非字符串类型不会加上的单引号。
1、#{}是预编译处理,MyBatis 创建一个预处理语句(PreparedStatement)参数,在 JDBC 中,这样的一个参数在 SQL 中会由一个“?”来标识,
并被传递到一个新的预处理语句中,默认情况下,使用 #{} 参数语法时,MyBatis 会创建 PreparedStatement 参数占位符,并通过占位符安全地设置参数
(就像使用 ? 一样)
select * from user where name = ?;
拓展: 指定JDBC类型
和 MyBatis 的其它部分一样,几乎总是可以根据参数对象的类型确定 javaType,除非该对象是一个 HashMap。这个时候,你需要显式指定 javaType 来确保正确的类型处理器(TypeHandler)被使用。 JDBC 要求,如果一个列允许使用 null 值,并且会使用值为 null 的参数,就必须要指定 JDBC 类型(jdbcType)。
#{id,jdbcType=BIGINT} 可以指定类型转换
2、${ }是字符串替换, MyBatis在处理${ }时,它会将sql中的${ }替换为变量的值,不存在预编译仅仅是取变量的值
LIKE '%${value}%'
FROM ${tableName}
order by ${field}
select * from ${tableName} where name = #{name}
在这个例子中,如果tableName为 user; delete user;
则动态解析之后 sql 如下: select * from user; delete user; -- where name = ?;
注意:使用${ }会导致sql注入,不利于系统的安全性!
SQL注入:就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。
常见的有匿名登录(在登录框输入恶意的字符串)、借助异常获取数据库信息等
${ }:主要用于获取配置文件数据,DAO接口中的参数信息,当$出现在映射文件的SQL语句中时创建的不是预编译的SQL,而是字符串的拼接,
有可能会导致SQL注入问题.所以一般使用$接收dao参数时,这些参数一般是字段名,表名等,例如order by {column}。${}获取DAO参数数据时,
参数必须使用@param注解进行修饰或者使用下标或者参数#{param1}形式;