${}和#{}的區(qū)別以及底層原理

${}

不會(huì)自動(dòng)加 ' '，如果傳入?yún)?shù)為簡(jiǎn)單類(lèi)型，那么必須寫(xiě) ${value}，如果是對(duì)象，寫(xiě)的是${屬性名}；

底層解析的時(shí)候只要sql語(yǔ)句包含 ${ } ，在創(chuàng)建cofigration對(duì)象的時(shí)候，這條sql就會(huì)被解析成動(dòng)態(tài)類(lèi)型的語(yǔ)句，底層不會(huì)把 ${ } 轉(zhuǎn)成 " ? "（不做處理），只會(huì)在使用Mapper接口代理對(duì)象進(jìn)行數(shù)據(jù)操作的時(shí)候把#{ }轉(zhuǎn)成 " ? "，之后再調(diào)用JDBC進(jìn)行賦值，把${ }轉(zhuǎn)成mapper接口的參數(shù)值，所以會(huì)存在SQL注入的問(wèn)題

#{}

對(duì)于字符串會(huì)自動(dòng)加 ' '，如果傳入?yún)?shù)為簡(jiǎn)單類(lèi)型，可以寫(xiě) ${任意值}，如果是對(duì)象，寫(xiě)的是${屬性名}

底層解析的時(shí)候如果sql語(yǔ)句只包含 #{ } ，這條sql就會(huì)被解析成靜態(tài)類(lèi)型的語(yǔ)句，會(huì)把 #{ }轉(zhuǎn)成 " ? "，進(jìn)行數(shù)據(jù)操作時(shí)調(diào)用JDBC進(jìn)行賦值

#{}和${}取值符號(hào)

如圖，兩個(gè)方法的參數(shù)類(lèi)型為簡(jiǎn)單類(lèi)型，簡(jiǎn)單類(lèi)型包括8大基本類(lèi)型和String

• 1. #{}取值符號(hào)會(huì)自動(dòng)為String類(lèi)型的參數(shù)加上‘’單引號(hào)
• 2. ${}取值符號(hào)不會(huì)自動(dòng)為String加上‘’單引號(hào)

當(dāng)sql標(biāo)簽的查詢(xún)代碼是 select * from t_user where username =  ‘lyx’；

這種情況，需要使用自動(dòng)加上單引號(hào)的#{}：select * from t_user where username = #{username}

當(dāng)查詢(xún)數(shù)據(jù)降序排序時(shí)：

UserDao接口如下：

select * from t_user order by 排序字段名 desc

UserMapper.xml文件如下：

調(diào)用

• queryUserOrderByColumn(String column)運(yùn)行結(jié)果

• queryUserOrderByColumn2(String column)運(yùn)行結(jié)果2

• 看數(shù)據(jù)庫(kù)中的數(shù)據(jù)，說(shuō)明方法1沒(méi)有成功降序排序

所以對(duì)于動(dòng)態(tài)排序的sql語(yǔ)句，要用${}，而不用#{}

對(duì)于排序正確 的代碼是

select * from t_user order by username desc

如果使用#{}，會(huì)自動(dòng)為String類(lèi)型添加單引號(hào)，變成

select * from t_user order by 'username' desc

所以查不到數(shù)據(jù)

來(lái)看使用${}的第二種情況：模糊查詢(xún)

sql語(yǔ)句應(yīng)該是，

LIKE_ (單個(gè)任意字符)
列名 LIKE ‘張_'
LIKE % (任意長(zhǎng)度的任意字符）
列名 LIKE ‘張%'

顯然，使用 ${}，不自動(dòng)添加單引號(hào)才是正確的

調(diào)用運(yùn)行

運(yùn)行結(jié)果：

總結(jié)

以上為個(gè)人經(jīng)驗(yàn)，希望能給大家一個(gè)參考，也希望大家多多支持腳本之家。

最新評(píng)論