Mybatis中${param}与#{param}的区别说明

2022-11-13 10:11:00 mybatis param 区别

${param}与#{param}的区别

${param}表达式主要用户获取配置文件数据,DAO接口中的参数信息,当 $ 出现在映射文件的 sql 语句中时创建的不是预编译的 SQL ,而是字符串的拼接有可能会导致 SQL 注入的问题,所以一般使用 $ 接收 DAO 参数时,这些参数一般是字段名,表名等.例如 order by {column}

#{param} 表达式主要是用户获取 DAO 中的参数数据,在映射文件的SQL 语句中出现 #{} 表达式,底层会创建预编译的 SQL .性能会相对较好

${} 获取 DAO 参数数据时,参数必须使用 @param 注解进行修饰

#{} 获取 DAO 参数数据时,假如参数个数多于一个,可有选择的使用@param

Mybatis中#{}与${}使用总结

#{ }与${ }的区别

1、#{ }将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。 如:

delete from user where name= #{name}

实际相当于一个占位符:

delete from user where name= ?

如果传入的值是123,那么解析成sql时的值为 delete from user where name= 123, 如果传入的值是字符串 Rose,则解析成的sql为delete from user where name= 'Rose'

2、${ }将传入的数据直接显示生成在sql中,即原样拼接。对于

delete from user where name= ${name}

如果传入的值int类型的123,那么解析成sql时的值为

delete from user where name= 123

如果传入的值是字符串Rose,则解析成的sql为

delete from user where name= Rose

这样就是错误的,必须将原来的语句改为

delete from user where name= '${name}'

3、#方式能够防止sql注入;$方式无法防止Sql注入

$方式一般用于传入数据库对象,例如传入表名

默认情况下,使用#{}格式的语法会导致MyBatis创建预处理语句属性并以它为背景设置安全的值。这样做很安全,很迅速也是首选做法,有时只是想直接在SQL语句中插入一个不改变的字符串,可以使用${ }。

使用总结

1、#{ }:多用于传递查询的参数;一般用在用户输入值的地方,在sql中:字段 比较符号(=、>、<、!=、<>) #{用户输入的值};

  • 如果传递参数是基本类型(非字符类型),获取参数是原样获取, 如果是字符串,#{}获取时会自动给加一个引号。
  • 对于基本类型和String类型可以在#{ }内任意填写,一半填写对应值。

2、${ }:一般用于传入数据库对象,例如传入表名,如:$(表名);一般用于order by的后面,如:order by $(字段);表名作为变量时,必须使用 ${ };用在我们能够确定值的地方,也就是我们程序员自己赋值的地方;

  • 如果传递是基本类型的阐述,int,String等等。${}只能写value,如${value}

3、如果传递参数是对象:#{}和${}都是ognl表达式来获取 (对象导航语言 属性.属性.属性)

  • 如:
<update id="updateUserByID" parameterType="domain.User">
 update user set username=#{username},sex=#{sex},birthday=#{birthday} where id=#{id}
</update>
  • #{}内的内容必须是User对应的属性值。

以上为个人经验,希望能给大家一个参考,也希望大家多多支持。

相关文章