快捷導(dǎo)航

MyBatis中#號(hào)與美元符號(hào)的區(qū)別

更新時(shí)間：2017年01月12日 14:08:12 作者：java1993666

#{變量名}可以進(jìn)行預(yù)編譯、類型匹配等操作，#{變量名}會(huì)轉(zhuǎn)化為jdbc的類型。很多朋友不清楚在mybatis中#號(hào)與美元符號(hào)的不同，接下來(lái)通過(guò)本文給大家介紹兩者的區(qū)別，感興趣的朋友參考下吧

#{變量名}可以進(jìn)行預(yù)編譯、類型匹配等操作，#{變量名}會(huì)轉(zhuǎn)化為jdbc的類型。

select * from tablename where id = #{id}

假設(shè)id的值為12，其中如果數(shù)據(jù)庫(kù)字段id為字符型，那么#{id}表示的就是'12'，如果id為整型，那么id就是12，并且MyBatis會(huì)將上面SQL語(yǔ)句轉(zhuǎn)化為jdbc的select * from tablename where id=?，把?參數(shù)設(shè)置為id的值。

${變量名}不進(jìn)行數(shù)據(jù)類型匹配，直接替換。

select * from tablename where id = ${id}

如果字段id為整型，sql語(yǔ)句就不會(huì)出錯(cuò)，但是如果字段id為字符型，那么sql語(yǔ)句應(yīng)該寫(xiě)成

select * from table where id = '${id}'

#方式能夠很大程度防止sql注入。

$方式無(wú)法方式sql注入。

$方式一般用于傳入數(shù)據(jù)庫(kù)對(duì)象，例如傳入表名。

盡量多用#方式，少用$方式。

mybatis框架作為一款半自動(dòng)化的持久層框架，其sql語(yǔ)句都要我們自己來(lái)手動(dòng)編寫(xiě)，這個(gè)時(shí)候當(dāng)然需要防止sql注入。其實(shí)Mybatis的sql是一個(gè)具有“輸入+輸出”功能，類似于函數(shù)的結(jié)構(gòu)，如下：

select id="getBlogById" resultType="Blog" parameterType=”int”>
select id,title,author,content 
from blog where id=#{id} 
</select>

這里，parameterType標(biāo)示了輸入的參數(shù)類型，resultType標(biāo)示了輸出的參數(shù)類型?；貞?yīng)上文，如果我們想防止sql注入，理所當(dāng)然地要在輸入?yún)?shù)上下功夫。上面代碼中高亮部分即輸入?yún)?shù)在sql中拼接的部分，傳入?yún)?shù)后，打印出執(zhí)行的sql語(yǔ)句，會(huì)看到sql是這樣的：

select id,title,author,content from blog where id = ?

不管輸入什么參數(shù)，打印出的sql都是這樣的。這是因?yàn)閙ybatis啟用了預(yù)編譯功能，在sql執(zhí)行前，會(huì)先將上面的sql發(fā)送給數(shù)據(jù)庫(kù)進(jìn)行編譯，執(zhí)行時(shí)，直接使用編譯好的sql，替換占位符“？”就可以了。因?yàn)閟ql注入只能對(duì)編譯過(guò)程起作用，所以這樣的方式就很好地避免了sql注入的問(wèn)題。

以上所述是小編給大家介紹的MyBatis中#號(hào)與美元符號(hào)的區(qū)別，希望對(duì)大家有所幫助，如果大家有任何疑問(wèn)請(qǐng)給我留言，小編會(huì)及時(shí)回復(fù)大家的。在此也非常感謝大家對(duì)腳本之家網(wǎng)站的支持！

您可能感興趣的文章: