在mybatis中的有两种动态传参的方式。
一种是#{},另一种是${}。
动态 sql 是 mybatis 的主要特性之一,在 mapper 中定义的参数传到 xml 中之后,在查询之前 mybatis 会对其进行动态解析。mybatis 为我们提供了两种支持动态 sql 的语法:#{} 以及 ${} 。
1、#相当于对数据 加上 双引号,$相当于直接显示数据。
2、#{} : 根据参数的类型进行处理,比如传入String类型,则会为参数加上双引号。#{} 传参在进行SQL预编译时,会把参数部分用一个占位符 ? 代替,这样可以防止 SQL注入。
3、${} : 将参数取出不做任何处理,直接放入语句中,就是简单的字符串替换,并且该参数会参加SQL的预编译,需要手动过滤参数防止 SQL注入。
4、因此 mybatis 中优先使用 #{};当需要动态传入 表名或列名时,再考虑使用 ${} , 比较特殊,他的应用场景是需要动态传入表名或列名时使用,MyBatis排序时使用orderby动态参数时需要注意,用{} 比较特殊, 他的应用场景是 需要动态传入 表名或列名时使用,MyBatis排序时使用order by 动态参数时需要注意,用比较特殊,他的应用场景是需要动态传入表名或列名时使用,MyBatis排序时使用orderby动态参数时需要注意,用而不是#。
例如:
1、#对传入的参数视为字符串,也就是它会预编译,select * from user where user_name=${rookie},比如我传一个rookie,那么传过来就是 select * from user where user_name = ‘rookie’;
2、$不会将传入的值进行预编译, select * from user where user_name= ${rookie} ,那么传过来的sql就是:select * from user where user_name=rookie;
3、#优势在于它能很大程度防止sql注入,$ 不行。比如:用户进行一个登录操作,后台sql验证式样的:
select * from user where user_name=#{name} and password = #{pwd},如果前台传来的用户名是“rookie”,密码是 “1 or 2”,用#的方式就不会出现sql注入,换成用$ 方式,sql语句就变成了 select * from user where user_name=rookie and password = 1 or 2。这样的话就形成了sql注入。
原文链接:https://blog.csdn.net/weixin_44739349/article/details/91039280