[TOC]
1.#{}占位符
1.#{}占位符可以用来设置参数,如果传进来的是基本类型,也就是(string,long,double,int,boolean,float等),那么#{}里面的变量名可以随意写,什么abc,xxx等等,这个名字和传进来的参数名可以不一致。
2.如果传进来的是pojo类型,那么#{}中的变量名必须是pojo的属性名,可以写成属性名,也可以写属性名.属性名。
参数是int,不需要设置parameterType:
delete from student where id=#{XXXdoukeyi}
parameterType是pojo类,如果使用pojo类型作为参数,那么必须提供get方法,也就是框架在运行的时候需要通过反射根据#{}中的名字,拿到这个值放到sql语句中,如果占位符中的名称和属性不一致,那么报ReflectionException。
insert into student(name,age,score) values(#{name},#{age},#{score})
3.#{}占位符不能解决的三类问题:
注意:不能这样写:
insert into student(name,age,score) values(#{Student.name},#{Student.age},#{Student.score})
否则会报一个错误(会将Student当成一个属性),所以我们类名就直接省略不写就可以了:
### Cause: org.apache.ibatis.reflection.ReflectionException: There is no getter for property named 'Student' in 'class bean.Student'
2.${}拼接符
1.如果传进来的是基本类型,也就是(string,long,double,int,boolean,float等),那么#{}里面的变量名必须写value。
delete from student where id=${value}
2.如果传进来的是pojo类型,那么#{}中的变量名必须是pojo的属性名,可以写成属性名,也可以写属性名.属性名。但是由于是拼接的方式,对于字符串我们需要自己加引号。
insert into student(name,age,score) values('${name}',${age},${score})
与上面一样,不能将类名写进来:
insert into student(name,age,score) values('${Student.name}',${Student.age},${Student.score})
3.${}占位符是字符串连接符,可以用来动态设置表名,列名,排序名
4.${}可以作为连接符使用,但是这样的方式是不安全的,很容易发生sql注入问题,sql注入问题可以参考https://blog.csdn.net/aphysia…:
select id,name,age,score from student where name like '%${value}%'
3.#{}与${}区别
select id,name,age,score from student where name like '%' #{name} '%'
select id,name,age,score from student order by #{column}
select * from table order by 'column'
那我们需要怎么处理呢?我们只能使用${},MyBatis不会修改或转义字符串。这样是不安全的,会导致潜在的SQL注入攻击,我们需要自己限制,不允许用户输入这些字段,或者通常自行转义并检查。所以这必须过滤输入的内容。
【作者简介】:
秦怀,公众号【秦怀杂货店】作者,技术之路不在一时,山高水长,纵使缓慢,驰而不息。这个世界希望一切都很快,更快,但是我希望自己能走好每一步,写好每一篇文章,期待和你们一起交流。
此文章仅代表自己(本菜鸟)学习积累记录,或者学习笔记,如有侵权,请联系作者核实删除。人无完人,文章也一样,文笔稚嫩,在下不才,勿喷,如果有错误之处,还望指出,感激不尽~
1971
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
