MyBatis中號與美元符號的區別

#可以進行預編譯、型別匹配等操作，#會轉化為jdbc的型別。

select * from tablename where id = #

假設id的值為12，其中如果資料庫欄位id為字元型，那麼#表示的就是'12'，如果id為整型，那麼id就是12，並且mybatis會將上面sql語句轉化為jdbc的select * from tablename where id=?，把?引數設定為id的值。

$不進行資料型別匹配，直接替換。

select * from tablename where id = $

如果欄位id為整型，sql語句就不會出錯，但是如果欄位id為字元型，那麼sql語句應該寫成

select * from table where id = '$'

#方式能夠很大程度防止sql注入。

$方式無法方式sql注入。

$方式一般用於傳入資料庫物件，例如傳入表名。

盡量多用#方式，少用$方式。

mybatis框架作為一款半自動化的持久層框架，其sql語句都要我們自己來手動編寫，這個時候當然需要防止sql注入。其實mybatis的sql是乙個具有「輸入+輸出程式設計客棧」功能，類似於函式的結構，如下：

select id="getblogbyid" resulttype="blog" parametertype=」int」>

select id,title,author,content

from blog where id=#

這裡，parametertype標示了輸入的引數型別，resulttype標示了輸出的引數型別。回應上文，如果我們想防止sql注入，理所當然地要在輸入引數上下功夫。上面**中高亮ofgdpqe部分即輸入引數在sql中拼接程式設計客棧的部分，傳入引數後，列印出執行的sql語句，會看到sql是這樣的：

select id,title,author,content from blog where id = ?

不管輸入什麼引數，列印出的sql都是這樣的。這是因為mybatis啟用了預編譯功能，在sql執行前，會先將上面的sql傳送給資料庫進行編譯，執行時，直接使用編譯好的sql，替換佔位符「？」就可以了。因為sql注入只能對編譯過程起作用，所以這樣的方式就很好地避免了sql注入的問題。

本文標題: mybatis中#號與美元符號的區別

本文位址: /ruanjian/j**a/176508.html

MyBatis中 號與美元符號的區別