總結(jié)：

1.#可以防止Sql 注入，它會將所有傳入的參數(shù)作為一個字符串來處理。
2.$ 則將傳入的參數(shù)拼接到Sql上去執(zhí)行，一般用于表名和字段名參數(shù)，$ 所對應(yīng)的參數(shù)應(yīng)該由服務(wù)器端提供，前端可以用參數(shù)進(jìn)行選擇，避免 Sql 注入的風(fēng)險

為什么？

為什么# 和 $ 的作用不同，Mybatis 對他們做了哪些慘無人道的處理，我們看一下下面的例子，并追蹤一下源碼總結(jié)。

示例代碼：

創(chuàng)建一個 tb_class 表（具體字段不做解釋）。

創(chuàng)建一個 ClassDao.java 并使用注解的方式 ，tableName 代表查詢的表，id代表主鍵 ：

public interface ClassDao {
  /**
   * 測試 # 和 $ 符號區(qū)別
   * @param tableName 表名
   * @param id 主鍵
   * @return
   */
  @Select("select * from ${tableName} where class_id = #{id}")
  ClassInfo selectEntityByTableNameAndId(@Param("tableName") String tableName, @Param("id") Integer id);
}

創(chuàng)建一個Test 方法：

 @Test
  public void testMybatis() throws IOException {
    ClassInfo classInfo = classDao.selectEntityByTableNameAndId("tb_class", 1);
    System.err.println("classInfo : " + JSONObject.toJSONString(classInfo));
  }

源碼分析：

看過代碼的小伙伴應(yīng)該知道， Mybatis 執(zhí)行 入口是 DefaultSqlSession.selectOne(）方法。我們Debug 啟動 testMybatis（）方法，并在 DefaultSqlSession.selectOne()添加斷點，一行行執(zhí)行Mybatis 代碼：

一步步向下走，當(dāng)走到代碼： org.apache.ibatis.executor.statement.PreparedStatementHandler#query方法時，可以看到 PreparedStatement 相信大家對這個應(yīng)該不會陌生，預(yù)編譯Sql并通過占位符的方式放置參數(shù)，現(xiàn)在 我們對比一下我們在 Dao 中的 sql ： select * from ${tableName} where class_id = #{id}

如圖所示，我們會發(fā)現(xiàn)， Mybatis 已經(jīng)將 sql中 ${tableName} 替換成了 tb_class ，#{id} 也已經(jīng)變成了 占位符 ？，生成了 Sql ： select * from tb_class where class_id = ?。這已經(jīng)是一目了然了，Mybaitis 封裝了JDBC ,執(zhí)行時會將我們注解 或 Mapper 中的 Sql 和參數(shù)進(jìn)行處理，并交給 PreparedStatement 來執(zhí)行。

至于Mybatis怎么修改的Sql 大家可以Debug追蹤 org.apache.ibatis.mapping.BoundSql 中參數(shù) sql 來理解。

到此這篇關(guān)于淺談Mybatis #和$區(qū)別以及原理的文章就介紹到這了,更多相關(guān)Mybatis #和$區(qū)別內(nèi)容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家！

最新評論