"使用#传入参数"
sql语句:select * from emp where empno= #{empNo};
如果传入empNo为7369,那么打印出来的就是
select * from dept where dname = '7369';
"使用$传入参数"
sql语句:select * from dept where dname = ${dname};
如果传入empNo为7369,那么打印出来的就是
select * from dept where dname = 7369;
"区别":#()当成字符串解析,而$()则是把传入的值放在sql语句后面,所以#{}传参能防止sql注入。
"什么是防止sql注入?"
《测试类》
SqlSession sqlSession = null;
sqlSession = SqlSessionFactoryUtil.getSession();
EmpDao empDao = sqlSession.getMapper(EmpDao.class);
Map map = new HashMap();
map.put("empNo","7369 or 1=1");
List<Map> empDaoList = empDao.getList(map);
if(empDaoList!=null&&empDaoList.size()>0){
for (Map map1 : empDaoList) {
System.out.println(map1.get("ENAME")+" "+map1.get("HIREDATE"));
}
}
《配置》
<if test="empNo != null and empNo != '' ">
and empno = #{empNo}
</if>
这里如果你使用#(),则会报错,无效数字,说明防止了sql注入,而使用$()则不会报错。
"模糊查询怎么写?"
<select id="getList" parameterType="map" resultType="map">
select * from emp
<where>
<if test="ename != null and ename != '' ">
and ename like '%'||#{ename}||'%'
</if>
</where>
</select>
Mybatis中#{}和${}传参的区别?
最新推荐文章于 2022-09-14 08:27:49 发布