Mybatis中的 # 和 $

浅谈Mybatis 中的 #$

在使用mybatis的时候 , 传递的参数我们一般是使用#和$来传递参数值。

  • 使用 # 时 , 变量就是占位符 ? , 这样可以防止sql注入
  • 使用$时 , 变量就是直接追加在sql中,一般会有sql注入问题

1、#{ }是预编译处理,MyBatis在处理#{ }时,它会将sql中的#{ }替换为?,然后调用PreparedStatement的set方法来赋值,传入字符串后,会在值两边加上单引号,如值 “xxxx”就会变成“ ‘xxxx’ ”;

2、$ { }是字符串替换, MyBatis在处理$ { }时,它会将sql中的${ }替换为变量的值,传入的数据不会加两边加上单引号。

注意:使用${ }会导致sql注入,不利于系统的安全性!

应用场景:

1、#{ }:主要获取传进来bean中的参数数据,在映射文件的SQL语句中出现#{}表达式,底层会创建预编译的SQL;

2、$ { }:主要用于获取配置文件数据,DAO接口中的参数信息,当 $ 出现在映射文件的SQL语句中时创建的不是预编译的SQL,而是字符串的拼接,有可能会导致SQL注入问题. 一般来说 ${} 用于模糊查询的情况比较多

注:

${}获取入参 参数的 数据时,参数必须使用@param注解进行修饰或者使用下标或者参数#{param1}形式;

#{}获取入参 参数的 数据时,假如参数个数多于一个可有选择的使用@param。


版权声明:本文为weixin_43287239原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接和本声明。