超级会员免费看
本文介绍了MyBatis中#{}和${}的区别。#{}用于声明变量,传参时会被转义为字符串,防止SQL注入;而${}常用于动态SQL,如order by和group by等,但可能导致SQL注入问题。建议尽量使用#{}以提高安全性。文章还提及了在mapper、dao和controller层的实际应用,并提供了不同业务场景下排序的示例。
1.mybatis中的#{}
一般地,#{}在mybatis中表示申明一个变量;使用#{}传参时,sql语句解析是会加上"",比如 select * from user where name = #{name} ,传入的name为zhangxing,那么最后
打印出来的sql为:
select * from user where name = ‘zhangxing’,就是会当成字符串来解析,这样相比于${}的好处是比较明显的:#{}传参能防止sql注入,如果传入的参数为 单引号',那么使用
${},这种方式是会报错的;
2..mybatis中的${}
一般地,在排序(oreder by),分组(group by)或者插入固定表及字段时,可以考虑使用${}
select * from user order by ${param}
${param} :当入参是age时, =>select * from user order by age,这时非得用${},如果用#{},
select * from user order by #{param}
#{param}:当入参是age时,=>select * from user order by 'age'
订阅专栏 解锁全文
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
