Mybatis #和$区别以及原理

总结:

  1. #{ }可以防止Sql 注入,它会将所有传入的参数作为一个字符串来处理。
  2. $ {} 则将传入的参数拼接到Sql上去执行,一般用于表名和字段名参数,$ 所对应的参数应该由服务器端提供,前端可以用参数进行选择,避免 Sql 注入的风险

为什么?

  1. 为什么 # 和 $ 的作用不同,Mybatis 对他们做了哪些惨无人道的处理,我们看一下下面的例子,并追踪一下源码总结。

示例代码:

  1. 创建一个 tb_class 表(具体字段不做解释)。
  2. 创建一个 ClassDao.java 并使用注解的方式 ,tableName 代表查询的表,id代表主键 :
public interface ClassDao {
    /**
     * 测试 # 和 $ 符号区别
     * @param tableName 表名
     * @param id  主键
     * @return
     */
    @Select("select * from ${tableName} where class_id = #{id}")
    ClassInfo selectEntityByTableNameAndId(@Param("tableName") String tableName, @Param("id") Integer id);
}
  1. 创建一个Test 方法:
    @Test
    public void testMybatis() throws IOException {
        ClassInfo classInfo = classDao.selectEntityByTableNameAndId("tb_class", 1);
        System.err.println("classInfo : " + JSONObject.toJSONString(classInfo));
    }

源码分析:

  1. 看过代码的小伙伴应该知道, Mybatis 执行 入口是 DefaultSqlSession.selectOne()方法。我们Debug 启动 testMybatis()方法,并在 DefaultSqlSession.selectOne()添加断点,一行行执行Mybatis 代码:在这里插入图片描述

  2. 一步步向下走,当走到代码: org.apache.ibatis.executor.statement.PreparedStatementHandler#query方法时,可以看到 PreparedStatement 相信大家对这个应该不会陌生,预编译Sql并通过占位符的方式放置参数,现在 我们对比一下我们在 Dao 中的 sql : select * from ${tableName} where class_id = #{id}
    在这里插入图片描述
    如图所示,我们会发现, Mybatis 已经将 sql中 ${tableName} 替换成了 tb_class ,#{id} 也已经变成了 占位符 ?,生成了 Sql : select * from tb_class where class_id = ?。这已经是一目了然了,Mybaitis 封装了JDBC ,执行时会将我们注解 或 Mapper 中的 Sql 和参数进行处理,并交给 PreparedStatement 来执行。

  3. 至于Mybatis怎么修改的Sql 大家可以Debug追踪 org.apache.ibatis.mapping.BoundSql 中参数 sql 来理解。

以上是博主自己的理解与想法, 如有异议请大家留言,博主一定会第一时间解决
  • 20
    点赞
  • 126
    收藏
    觉得还不错? 一键收藏
  • 9
    评论
评论 9
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值