zoukankan      html  css  js  c++  java
  • ][mybatis]MyBatis mapper文件中的变量引用方式#{}与${}的差别

    转自https://blog.csdn.net/szwangdf/article/details/26714603

    MyBatis mapper文件中的变量引用方式#{}与${}的差别

    默认情况下,使用#{}语法,MyBatis会产生PreparedStatement语句中,并且安全的设置PreparedStatement参数,这个过程中MyBatis会进行必要的安全检查和转义。
    示例1:
    执行SQL:Select * from emp where name = #{employeeName}
    参数:employeeName=>Smith
    解析后执行的SQL:Select * from emp where name = ?
    执行SQL:Select * from emp where name = ${employeeName}
    参数:employeeName传入值为:Smith
    解析后执行的SQL:Select * from emp where name =Smith

     

    综上所述、${}方式会引发SQL注入的问题、同时也会影响SQL语句的预编译,所以从安全性和性能的角度出发,能使用#{}的情况下就不要使用${}

    但是${}在什么情况下使用呢?

    有时候可能需要直接插入一个不做任何修改的字符串到SQL语句中。这时候应该使用${}语法。

    比如,动态SQL中的字段名,如:ORDER BY ${columnName}

    注意:当使用${}参数作为字段名或表名时、需指定STATEMENT”,如:

    <select id="queryMetaList" resultType="Map" statementType="STATEMENT">Select * from emp where name = ${employeeName} ORDER BY ${columnName}</select>

  • 相关阅读:
    数据后台查询分页条件查询数据
    避免js缓存
    jquery点击按钮
    网页内容打印
    数据表的导出
    C#实现字符串按多个字符采用Split方法分割
    JQuery
    AJAX
    JSON
    BOM
  • 原文地址:https://www.cnblogs.com/sharpest/p/6028861.html
Copyright © 2011-2022 走看看