参数占位符 #{}
?
参数占位符通常以#{parameterName}
的形式出现在SQL语句中。在运行时,MyBatis会将这些占位符替换为传递给SQL语句的实际参数值。这种方式有助于防止SQL注入攻击,并且可以轻松地将动态数据传递到SQL查询中。
使用参数占位符 #{}
的基本语法
-
使用单个参数占位符:
SELECT * FROM users WHERE id = #{userId}
这里的
#{userId}
是一个参数占位符,用于接收传递给SQL查询的userId
参数的值。 -
使用多个参数占位符:
SELECT * FROM products WHERE category = #{category} AND price < #{maxPrice}
使用了两个参数占位符,分别是
#{category}
和#{maxPrice}
,用于接收两个不同的参数值。
参数占位符 #{}
的好处
-
防止SQL注入攻击:通过使用占位符,MyBatis可以确保传递给SQL的参数值不会被解释为SQL代码,从而提高了安全性。
-
动态SQL:参数占位符允许我们根据不同情况动态生成SQL语句,例如根据用户输入来构建不同的查询条件。
-
更清晰的代码:通过将参数值与SQL语句分离,代码更易于维护和理解。
在MyBatis中,除了使用#{parameterName}
参数占位符外,还可以使用${expression}
占位符。
${}
占位符的用法
${}
占位符用于在SQL语句中直接替换表达式的值,而不是将参数传递给预编译的SQL语句。这意味着${}
占位符不会提供与预编译SQL语句相同的防SQL注入保护。
-
直接替换属性值:
SELECT * FROM users WHERE username = '${username}'
这里的
${username}
会被替换为实际的username
属性值。 -
执行SQL函数:
SELECT COUNT(*) FROM orders WHERE order_date >= DATE_SUB(NOW(), INTERVAL ${daysAgo} DAY)
${daysAgo}
被用于计算日期差,并传递给SQL函数。
${}
占位符的特点
-
不进行预编译:
${}
占位符不会像#{}
占位符那样进行预编译,因此可能存在SQL注入的风险。 -
属性替换:
${}
占位符用于直接替换属性值或表达式的结果,而不是将参数传递给SQL语句。 -
适用场景:
${}
占位符通常用于需要执行SQL函数、拼接字符串等情况。
总结
${}
占位符允许直接替换属性值或表达式的结果,但小心潜在的SQL注入风险。通常情况下推荐使用#{}
参数占位符,它提供更好的安全性和预编译功能。只有在需要执行SQL函数或进行字符串拼接等情况下,才使用${}
占位符。