亲宝软件园·资讯

展开

${param}与#{param}区别

回首一辈子 人气:2

${param}与#{param}的区别

${param}表达式主要用户获取配置文件数据,DAO接口中的参数信息,当 $ 出现在映射文件的 SQl 语句中时创建的不是预编译的 SQL ,而是字符串的拼接有可能会导致 SQL 注入的问题,所以一般使用 $ 接收 DAO 参数时,这些参数一般是字段名,表名等.例如 order by {column}

#{param} 表达式主要是用户获取 DAO 中的参数数据,在映射文件的SQL 语句中出现 #{} 表达式,底层会创建预编译的 SQL .性能会相对较好

${} 获取 DAO 参数数据时,参数必须使用 @param 注解进行修饰

#{} 获取 DAO 参数数据时,假如参数个数多于一个,可有选择的使用@param

Mybatis中#{}与${}使用总结

#{ }与${ }的区别

1、#{ }将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。 如:

delete from user where name= #{name}

实际相当于一个占位符:

delete from user where name= ?

如果传入的值是123,那么解析成sql时的值为 delete from user where name= 123, 如果传入的值是字符串 Rose,则解析成的sql为delete from user where name= 'Rose'

2、${ }将传入的数据直接显示生成在sql中,即原样拼接。对于

delete from user where name= ${name}

如果传入的值int类型的123,那么解析成sql时的值为

delete from user where name= 123

如果传入的值是字符串Rose,则解析成的sql为

delete from user where name= Rose

这样就是错误的,必须将原来的语句改为

delete from user where name= '${name}'

3、#方式能够防止sql注入;$方式无法防止Sql注入

$方式一般用于传入数据库对象,例如传入表名

默认情况下,使用#{}格式的语法会导致MyBatis创建预处理语句属性并以它为背景设置安全的值。这样做很安全,很迅速也是首选做法,有时只是想直接在SQL语句中插入一个不改变的字符串,可以使用${ }。

使用总结

1、#{ }:多用于传递查询的参数;一般用在用户输入值的地方,在sql中:字段 比较符号(=、>、<、!=、<>) #{用户输入的值};

2、${ }:一般用于传入数据库对象,例如传入表名,如:$(表名);一般用于order by的后面,如:order by $(字段);表名作为变量时,必须使用 ${ };用在我们能够确定值的地方,也就是我们程序员自己赋值的地方;

3、如果传递参数是对象:#{}和${}都是ognl表达式来获取 (对象导航语言 属性.属性.属性)

<update id="updateUserByID" parameterType="domain.User">
 update user set username=#{username},sex=#{sex},birthday=#{birthday} where id=#{id}
</update>

以上为个人经验,希望能给大家一个参考,也希望大家多多支持。

加载全部内容

相关教程
猜你喜欢
用户评论