${}和#{}的區(qū)別以及底層原理

${}

不會自動加 ' '，如果傳入?yún)?shù)為簡單類型，那么必須寫 ${value}，如果是對象，寫的是${屬性名}；

底層解析的時候只要sql語句包含 ${ } ，在創(chuàng)建cofigration對象的時候，這條sql就會被解析成動態(tài)類型的語句，底層不會把 ${ } 轉成 " ? "（不做處理），只會在使用Mapper接口代理對象進行數(shù)據(jù)操作的時候把#{ }轉成 " ? "，之后再調用JDBC進行賦值，把${ }轉成mapper接口的參數(shù)值，所以會存在SQL注入的問題

#{}

對于字符串會自動加 ' '，如果傳入?yún)?shù)為簡單類型，可以寫 ${任意值}，如果是對象，寫的是${屬性名}

底層解析的時候如果sql語句只包含 #{ } ，這條sql就會被解析成靜態(tài)類型的語句，會把 #{ }轉成 " ? "，進行數(shù)據(jù)操作時調用JDBC進行賦值

#{}和${}取值符號

如圖，兩個方法的參數(shù)類型為簡單類型，簡單類型包括8大基本類型和String

• 1. #{}取值符號會自動為String類型的參數(shù)加上‘’單引號
• 2. ${}取值符號不會自動為String加上‘’單引號

當sql標簽的查詢代碼是 select * from t_user where username =  ‘lyx’；

這種情況，需要使用自動加上單引號的#{}：select * from t_user where username = #{username}

當查詢數(shù)據(jù)降序排序時：

UserDao接口如下：

select * from t_user order by 排序字段名 desc

UserMapper.xml文件如下：

調用

• queryUserOrderByColumn(String column)運行結果

• queryUserOrderByColumn2(String column)運行結果2

• 看數(shù)據(jù)庫中的數(shù)據(jù)，說明方法1沒有成功降序排序

所以對于動態(tài)排序的sql語句，要用${}，而不用#{}

對于排序正確 的代碼是

select * from t_user order by username desc

如果使用#{}，會自動為String類型添加單引號，變成

select * from t_user order by 'username' desc

所以查不到數(shù)據(jù)

來看使用${}的第二種情況：模糊查詢

sql語句應該是，

LIKE_ (單個任意字符)
列名 LIKE ‘張_'
LIKE % (任意長度的任意字符）
列名 LIKE ‘張%'

顯然，使用 ${}，不自動添加單引號才是正確的

調用運行

運行結果：

總結

以上為個人經(jīng)驗，希望能給大家一個參考，也希望大家多多支持腳本之家。

最新評論