快捷導(dǎo)航

MyBatis 中 ${}和 #{}的正確使用方法(千萬(wàn)不要亂用)

更新時(shí)間：2020年07月22日 10:14:32 作者：小布1994

這篇文章主要介紹了MyBatis 中 ${}和 #{}的正確使用方法,本文給大家提到了MyBatis 中 ${}和 #{}的區(qū)別，本文通過實(shí)例代碼給大家介紹的非常詳細(xì)，對(duì)大家的學(xué)習(xí)或工作具有一定的參考借鑒價(jià)值，需要的朋友可以參考下

1、#{}是預(yù)編譯處理，MyBatis在處理#{ }時(shí)，它會(huì)將sql中的#{ }替換為？，然后調(diào)用PreparedStatement的set方法來(lái)賦值，傳入字符串后，會(huì)在值兩邊加上單引號(hào)，如上面的值 “4,44,514”就會(huì)變成“ ‘4,44,514' ”；

2、是字符串替換，在處理是字符串替換，MyBatis在處理時(shí),它會(huì)將sql中的{}是字符串替換，在處理{ }是字符串替換， MyBatis在處理{ }時(shí),它會(huì)將sql中的是字符串替換，在處理是字符串替換，MyBatis在處理時(shí),它會(huì)將sql中的{ }替換為變量的值，傳入的數(shù)據(jù)不會(huì)加兩邊加上單引號(hào)。

注意：使用${ }會(huì)導(dǎo)致sql注入，不利于系統(tǒng)的安全性！SQL注入：就是通過把SQL命令插入到Web表單提交或輸入域名或頁(yè)面請(qǐng)求的查詢字符串，最終達(dá)到欺騙服務(wù)器執(zhí)行惡意的SQL命令。常見的有匿名登錄（在登錄框輸入惡意的字符串）、借助異常獲取數(shù)據(jù)庫(kù)信息等

package com.xiaobu.mapper;

import com.xiaobu.base.mapper.MyMapper;
import com.xiaobu.entity.Country;

import java.util.List;

/**
 * @author xiaobu
 * @version JDK1.8.0_171
 * @date on 2018/11/27 19:21
 * @description V1.0
 */
public interface CountryMapper extends MyMapper<Country> {
 /**
  * 功能描述:通過#{}來(lái)進(jìn)行查詢
  *
  * @param ids id
  * @return java.util.List<com.xiaobu.entity.Country>
  * @author xiaobu
  * @date 2019/7/26 11:53
  * @version 1.0
  */
 List<Country> findList(String ids);

 /**
  * 功能描述:通過${}來(lái)進(jìn)行查詢
  *
  * @param ids id
  * @return java.util.List<com.xiaobu.entity.Country>
  * @author xiaobu
  * @date 2019/7/26 11:53
  * @version 1.0
  */
 List<Country> findList2(String ids);

 /**
  * 功能描述: 通過foreach來(lái)進(jìn)行查詢
  *
  * @param ids id
  * @return java.util.List<com.xiaobu.entity.Country>
  * @author xiaobu
  * @date 2019/7/26 11:53
  * @version 1.0
  */
 List<Country> findListByForEach(List<Integer> ids);
}

<?xml version="1.0" encoding="UTF-8" ?>

<!DOCTYPE mapper PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN" "http://mybatis.org/dtd/mybatis-3-mapper.dtd" >
<mapper namespace="com.xiaobu.mapper.CountryMapper">

 <select id="findList" resultType="com.xiaobu.entity.Country">
  select * from country where id in (#{ids} )
 </select>


 <select id="findList2" resultType="com.xiaobu.entity.Country">
  select * from country where id in (${ids} )
 </select>
 
 <select id="findListByForEach" parameterType="List" resultType="com.xiaobu.entity.Country">
  select * from country where id in
  <foreach collection="list" index="index" item="item" open="(" separator="," close=")">
   #{item}
  </foreach>
 </select>
</mapper>

@Test
 public void countTotal(){
  //統(tǒng)計(jì)總數(shù) SELECT COUNT(Id) FROM country
  Example example = new Example(City.class);
  int count =countryMapper.selectCountByExample(example);
  System.out.println("count = " + count);

  //按條件查詢 SELECT COUNT(Id) FROM country
  Country country = new Country();
  //country.setCountryname("1234");
  int conunt2 = countryMapper.selectCount(country);
  System.out.println("conunt2 = " + conunt2);
 }

 @Test
 public void findList(){
  //Preparing: select * from country where id in ( '1,2,3')
  List<Country> countries = countryMapper.findList("1,2,3");
  //countries = [Country(countryname=Angola, countrycode=AO)]
  System.out.println("countries = " + countries);
  //報(bào)錯(cuò) There is no getter for property named 'ids' in 'class java.lang.String
  List<Country> countries2 = countryMapper.findList2("1,2,3");
  System.out.println("countries2 = " + countries2);
 }

 @Test
 public void findListByForeach(){
  //Preparing: select * from country where id in ( ? , ? , ? )
  //Parameters: 1(Integer), 2(Integer), 3(Integer)
  List<Integer> list = new ArrayList<>(3);
  list.add(1);
  list.add(2);
  list.add(3);
  List<Country> countries2 = countryMapper.findListByForEach(list);
  System.out.println("countries2 = " + countries2);
 }