zoukankan      html  css  js  c++  java
  • Mybatis中#与$的区别

    1.两者都是动态的向sql语句中传入需要的参数

    2.#传入的参数在SQL中显示为字符串

         eg:select id,name,age from student where id =#{id},当前端把id值1,传入到后台的时候,就相当于 select id,name,age from student where id ='1'.

    3.$传入的参数在SqL中直接显示为传入的值

        eg:select id,name,age from student where id =${id},当前端把id值1,传入到后台的时候,就相当于 select id,name,age from student where id = 1.

    4.#可以防止SQL注入的风险(语句的拼接)

    5.但是如果使用在order by 中就需要使用 $.

    我觉得#与的区别最大在于:#{} 传入值时,sql解析时,参数是带引号的,而的区别最大在于:#{} 传入值时,sql解析时,参数是带引号的,而{}穿入值,sql解析时,参数是不带引号的。

    一 : 理解mybatis中 $与#

        在mybatis中的$与#都是在sql中动态的传入参数。

        eg:select id,name,age from student where name=#{name}  这个name是动态的,可变的。当你传入什么样的值,就会根据你传入的值执行sql语句。

    二:使用$与#

       #{}: 解析为一个 JDBC 预编译语句(prepared statement)的参数标记符,一个 #{ } 被解析为一个参数占位符 。

       ${}: 仅仅为一个纯碎的 string 替换,在动态 SQL 解析阶段将会进行变量替换。

        传入一个不改变的字符串或者传入数据库字段(列名),例如要传入order by 后边的参数

         这种情况下必须使用${}。

    综上,#{}方式一般用于传入字段值,并将该值作为字符串加到执行sql中,一定程度防止sql注入;

               ${}方式一般用于传入数据库对象,例如传入表名,不能防止sql注入,存在风险。

               模糊查询中,如果使用如下方式:select * from reason_detail where reason_en like '%${reason}%',此处只能使用$,使用#的话,反而会被解析为列,报错java.sql.SQLException: Column 'reason' not found

  • 相关阅读:
    UVA12125 March of the Penguins (最大流+拆点)
    UVA 1317 Concert Hall Scheduling(最小费用最大流)
    UVA10249 The Grand Dinner(最大流)
    UVA1349 Optimal Bus Route Design(KM最佳完美匹配)
    UVA1212 Duopoly(最大流最小割)
    UVA1395 Slim Span(kruskal)
    UVA1045 The Great Wall Game(二分图最佳匹配)
    UVA12168 Cat vs. Dog( 二分图最大独立集)
    hdu3488Tour(KM最佳完美匹配)
    UVA1345 Jamie's Contact Groups(最大流+二分)
  • 原文地址:https://www.cnblogs.com/qianf/p/9534126.html
Copyright © 2011-2022 走看看