MyBatis中#{}和${}的区别
在MyBatis 的映射配置文件中,动态传递参数有两种方式:
- #{} 占位符
- ${} 占位符
#{} 和 ${} 的区别
区别 1
- #{} 为参数占位符 ?,即sql 预编译
- ${} 为字符串替换,即 sql 拼接
区别 2
- #{}:动态解析 -> 预编译 -> 执行
- ${}:动态解析 -> 编译 -> 执行
区别 3
- #{} 的变量替换是在DBMS 中
- ${} 的变量替换是在 DBMS 外
区别 4
- 变量替换后,#{} 对应的变量自动加上单引号
''
- 变量替换后,${} 对应的变量不会加上单引号
''
区别 5
- #{} 能防止sql 注入
- ${} 不能防止sql 注入
#{} 和 ${} 的实例
实例步骤一
#{}:select * from t_user where uid=#{uid}
${}:select * from t_user where uid= '${uid}'
实例步骤二
#{}:select * from t_user where uid= ?
${}:select * from t_user where uid= '1'
实例步骤三
#{}:select * from t_user where uid= '1'
${}:select * from t_user where uid= '1'
#{} 和 ${} 的大括号中的值
单个参数的情形
#{}
无Mybaits默认值,可任意,且与参数无关
${}
1、 使用Mybaits默认值value,即${value}
2、使用自定义参数名,前提:在映射器接口方法的参数前加注解@Param("")
多个参数的情形
#{}
1、使用Mybatis默认值arg0、arg1、arg2…或param1、param2、param3…
2、 使用自定义参数名,前提: 在映射器接口方法的参数前加注解@Param("")
错误的使用的多个参数的情况
${}
1、使用Mybatis默认值arg0、arg1、arg2…或param1、param2、param3…
2、 使用自定义参数名,前提: 在映射器接口方法的参数前加注解@Param("")
#{} 和 ${} 在使用中的技巧和建议
- 不论是单个参数,还是多个参数,一律都建议使用注解
@Param("")
- 能用 #{} 的地方就用
#{}
,不用或少用${}
- 表名作参数时,必须用
${}
。如:select * from${tableName}
- order by 时,必须用
${}
。如:select * from t_user order by${columnName}
表名处用#{}会直接报错;order by后面用#{}排序不生效
- 使用
${}
时,要注意何时加或不加单引号,即${}
和'${}'
。一般字段类型为char或者varchar时需要加单引号
${}的使用场景举例
当 SQL 语句中的元数据(如表名或列名)是动态生成的时候,字符串替换将会非常有用。 举个例子,如果你想 select一个表任意一列的数据时,不需要这样写:
@Select("select * from user where id = #{id}")
User findById(@Param("id") long id);
@Select("select * from user where name = #{name}")
User findByName(@Param("name") String name);
@Select("select * from user where email = #{email}")
User findByEmail(@Param("email") String email);
// 其它的 "findByXxx" 方法
而是可以只写这样一个方法:
@Select("select * from user where ${column} = #{value}")
User findByColumn(@Param("column") String column, @Param("value") String value);
其中 ${column}
会被直接替换,而 #{value}
会使用 ?
预处理。 这样,就能完成同样的任务:
User userOfId1 = userMapper.findByColumn("id", 1L);
User userOfNameKid = userMapper.findByColumn("name", "kid");
User userOfEmail = userMapper.findByColumn("email", "noone@nowhere.com");
这种方式也同样适用于替换表名的情况。
提示:
用这种方式接受用户的输入,并用作语句参数是不安全的,会导致潜在的 SQL 注入攻击。因此,要么不允许用户输入这些字段,要么自行转义并检验这些参数。