0.1322017.08.17 01:59:41字數 439閱讀 2,490
動態 sql 是 mybatis 的強大特性之一,也是它優於其他 orm 框架的乙個重要原因。mybatis 在對 sql 語句進行預編譯之前,會對 sql 進行動態解析,解析為乙個 boundsql 物件,也是在此處對動態 sql 進行處理的。在動態 sql 解析階段, # 和 $ 會有不同的表現
1.都可以獲取物件中的屬性值,$[name] 和#[name]相同
2.#可以防止sql注入.先把sql中使用#的地方變成?佔位 再設定引數值,
select * from user where name = # and password = #
#{} 在動態解析的時候, 會解析成乙個引數標記符。就是解析之後的語句是:
select * from user where name = ? and password = ?
那麼我們使用 ${}的時候
select * from user where name = $;
${}在動態解析的時候,會將我們傳入的引數當做string字串填充到我們的語句中,就會變成下面的語句
select * from user where name = "***";
預編譯之前的 sql 語句已經不包含變數了,完全已經是常量資料了。相當於我們普通沒有變數的sql了。
$會導致sql注入,可以拼接sql
select * from user where name = $[name] and password = $[password]
假如 name = or 1 = 1 or;
最終上面的sql會變成——>
select * from user where name = or 1 = 1 or and password =
3.#會把傳入的引數使用引號包起來
引數值?: 'name』
select * from user where name = ? and password = ?
總結:一般的使用#獲取資料即可,在分組和排列操作值使用$,如果連線乙個引數值使用$,拼接一段sql使用$.#方式能夠很大程度防止sql注入。
$方式無法防止sql注入。
$方式一般用於傳入資料庫物件,例如傳入表名.
一般能用#的就別用$.
在使用mybatis的時候,盡量的使用#方式
myBatis中 和 區別
1.將傳入的資料都當成乙個字串,會對自動傳入的資料加乙個雙引號。如 order by user id 如果傳入的值是111,那麼解析成sql時的值為order by 111 如果傳入的值是id,則解析成的sql為order by id 2.將傳入的資料直接顯示生成在sql中。如 order by u...
mybatis 中 和 區別
在使用mybatis 框架時 在xml的配置檔案中,通常是使用 來獲取數值的 如 select from t user inf where id 這時 如果你傳入的值為zhangsan 則會編譯成為 select from t user inf where id zhangsan mybatis 會...
Mybatis 中 和 區別
號與 區別 號表示引數,代表乙個字串。如 select a,b,c from table1 where id value 傳入引數後如 value 1 則可生成 select a,b,c from table1 where id 1 select a,b,c from table1 where ci...