Mybatis中#{}与${}的区别详解
前言
在开发中使用Mybatis经常使用到#{}与${},依旧有很多开发者对二者的使用不是很清晰,正所谓好记性不如烂笔头,特此总结一下。
在mybatis中动态sql是其主要特性之一,在mapper中定义的参数传到xml中之后,在执行操作之前mybatis会对其进行动态解析。mybatis提供了两种支持动态sql的语法:#{}以及${},其最大的区别则是前者方式能够很大程度防止sql注入(安全),后者方式无法防止Sql注入。什么??不懂什么是Sql注入?额。。。Sql注入指的是程序解析时会将你传入的参数作为原来SQL语句的一部分,打乱原来SQL的结构,而通常我们只是需要传入一个参数而已.
彻底理解SQL注入
什么?还不懂SQL注入,我湖了QAQ。。。那就来个最简单的例子:一般开发,肯定是在前台有两个输入框,一个用户名,一个密码,会在后台里,读取前台传入的这两个参数,拼成一段SQL,例如:selectcount(1)fromtabwhereusesr=userinputandpass=passinput,把这段SQL连接数据后,看这个用户名/密码是否存在,如果存在的话,就可以登陆成功了,如果不存在,就报一个登陆失败的错误。对吧。但是有这样的情况,这段SQL是根据用户输入拼出来,如果用户故意输入可以让后台解析失败的字符串,这就是SQL注入,例如,用户在输入密码的时候,输入'''''or1=1'',这样,后台的程序在解析的时候,拼成的SQL语句,可能是这样的:selectcount(1)fromtabwhereuser=userinputandpass=''or1=1;看这条语句,可以知道,在解析之后,用户没有输入密码,加了一个恒等的条件1=1,这样,这段SQL执行的时候,返回的count值肯定大于1的,如果程序的逻辑没加过多的判断,这样就能够使用用户名userinput登陆,而不需要密码。防止SQL注入,首先要对密码输入中的单引号进行过滤,再在后面加其它的逻辑判断,或者不用这样的动态SQL拼
关于#{}
1、#{}表示一个占位符号相当于jdbc中的?符号#{}实现的是向prepareStatement中的预处理语句中设置参数值,sql语句中#{}表示一个占位符即?
2、#{}将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:select*fromuserwhereid=#{user_id},如果传入的值是11,那么解析成sql时的值为whereid="11",
3、如果sql语句中只有一个参数,此时参数名称可以随意定义如果sql语句有多个参数,此时参数名称应该是与当前表关联[实体类的属性名]或则[Map集合关键字],不能随便写,必须对应!如下图
关于${}
1、{user_id},如果传入的值是11,那么解析成sql时的值为whereid=11`
2、${value}中value值有限制只能写对应的value值不能随便写,因为${}不会自动进行jdbc类型转换
3、简单来说,在JDBC不支持使用占位符的地方,都可以使用${}
Mybatis中#{}与${}的区别
简单来说区别就是
#{}方式能够很大程度防止sql注入(安全),${}方式无法防止Sql注入
在JDBC能使用占位符的地方,最好优先使用#{}
在JDBC不支持使用占位符的地方,就只能使用${},典型情况就是动态参数
比如有两张表,分别是emp_2017和emp_2018.如果需要在查询语句中动态指定表名,就只能使用${}
再比如MyBatis排序时使用orderby动态参数时,此时也只能使用${}
select*fromdeptorderby${name}
代码案例
一般#{}与${}用的比较多的地方是模糊查询方面,所以下面来一个模糊查询的案例
使用#{}案例
1、映射文件
在User.xml配置文件中添加如下内容:
SELECT*FROM`user`WHEREusernameLIKE#{username}
2、测试程序
MybatisTest中添加测试方法如下:
@Test publicvoidtestQueryUserByUsername1()throwsException{ //4.创建SqlSession对象 SqlSessionsqlSession=sqlSessionFactory.openSession(); //5.执行SqlSession对象执行查询,获取结果User //查询多条数据使用selectList方法 List
测试效果如下图:
使用${}案例
1、映射文件:
在User.xml配置文件中添加如下内容:
SELECT*FROM`user`WHEREusernameLIKE'%${value}%'
2.测试程序:MybatisTest中添加测试方法如下:
@Test publicvoidtestQueryUserByUsername2()throwsException{ //4.创建SqlSession对象 SqlSessionsqlSession=sqlSessionFactory.openSession(); //5.执行SqlSession对象执行查询,获取结果User //查询多条数据使用selectList方法 List
当然两个案例效果一致!
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持毛票票。
声明:本文内容来源于网络,版权归原作者所有,内容由互联网用户自发贡献自行上传,本网站不拥有所有权,未作人工编辑处理,也不承担相关法律责任。如果您发现有涉嫌版权的内容,欢迎发送邮件至:czq8825#qq.com(发邮件时,请将#更换为@)进行举报,并提供相关证据,一经查实,本站将立刻删除涉嫌侵权内容。