#{}实现的是向prepareStatement中的预处理语句中设置参数值,sql语句中#{}表示一个占位符即?
使用#{参数名},将参数的内容添加到sql语句中指定位置.
如果当前sql语句中只有一个参数,此时参数名称可以随意定义
但是,如果当前sql语句有多个参数,此时参数名称应该是与当前表关联[实体类的属性名]或则[Map集合关键字]
上述SQL语句在调用时,我们可以分别采用如下两种方式输入参数
使用#{}读取实体类对象属性内容
使用#{}读取map集合中关键字的值
2.2#{}和${}区别
在MyBatis中提供了两种方式读取参数的内容到SQL语句中,分别是
#{参数名} :实体类对象或则Map集合读取内容
${参数名} :实体类对象或则Map集合读取内容
为了能够看到两种方式的区别,需要看到MyBatis执行时输送的SQL情况.因此
需要借助Log4J日志进行观察
第一步: 加载Log4j日志工具包到项目
第二步:将Log4j配置文件添加到src/main/resources下
接下来,我们可以查看
输出结果
从这里我们可以看出两者的区别:
#{} : 采用预编译方式,可以防止SQL注入
${}: 采用直接赋值方式,无法阻止SQL注入攻击
在大多数情况下,我们都是采用#{}读取参数内容.但是在一些特殊的情况下,我们还是需要使用${}读取参数的.
比如 有两张表,分别是emp_2017 和 emp_2018 .如果需要在查询语句中动态指定表名,就只能使用KaTeX parse error: Expected group after '_' at position 37: …ect * from emp_̲{year}
再比如.需要动态的指定查询中的排序字段,此时也只能使用${}
select * from dept order by ${name}
简单来说,在JDBC不支持使用占位符的地方,都可以使用${}