• 【Mybatis架构】Mapper映射文件中的#{}与${}


    前言

           还记得当初从北京回来的时候,跟着倪文杰师姐做Java ITOO的一卡通模块,我亲姐贾梦洁带着我一块做,期间,我遇到了一个特别奇葩的问题,就死我要实现Mybatis的模糊查询,根据当时亲姐教给我方法 select * from table where contions like #{something},就是解决不了问题,一点东西都查不出来,还报错。后来,我终于明白,世界上还有${}这个东西。只不过等到今天才去把它发出来,有点亡羊补牢的感觉,希望还能帮到一些像我一样的新手。

    #{}实现的是向prepareStatement中的预处理语句中设置参数值,sql语句中#{}表示一个占位符即?。 

    1. <!--根据id查询用户信息 -->  
    2. <select id="findUserById"parameterType="int"resultType="user">  
    3.     select * from user where id =#{id}  
    4. </select>  

    使用占位符#{}可以有效防止sql注入,在使用时不需要关心参数值的类型,mybatis会自动进行Java类型和jdbc类型的转换。#{}可以接收简单类型值或pojo属性值,如果parameterType传输单个简单类型值,#{}括号中可以是value或其它名称。说得再通俗一点,当我们使用#{}的时候,发出的sql中,#{}代表的内容会自动被加上“”,而${}是直接把东西取出来直接用举个例子:

    id="liweizhong",#{id}输出后是"liweizhong",而${value}输出是liweizhong

    ${}和#{}不同,通过${}可以将parameterType传入的内容拼接在sql中且不进行jdbc类型转换, ${}可以接收简单类型值或pojo属性值,如果parameterType传输单个简单类型值,${}括号中只能是value。使用${}不能防止sql注入,但是有时用${}会非常方便,如下的例子:

    1. <!--根据名称模糊查询用户信息 -->  
    2. <select id="selectUserByName"parameterType="string"resultType="user">  
    3.     select * from user whereusername like '%${value}%'  
    4. </select>  

    如果本例子使用#{}则传入的字符串中必须有%号,而%是人为拼接在参数中,显然有点麻烦,如果采用${}在sql中拼接为%的方式则在调用mapper接口传递参数就方便很多。

    如果使用占位符号则必须人为在传参数中加%

    List<User> list =userMapper.selectUserByName("%管理员%");

    如果使用${}原始符号则不用人为在参数中加%,直接在mapper配置文件里面接受这个参数就可以了,显得更加的方便,可是sql注入问题?  

    List<User>list = userMapper.selectUserByName("管理员");

    再比如order by排序,如果将列名通过参数传入sql,根据传的列名进行排序,应该写为:

    1. ORDER BY ${columnName}  

    这样要执行的sql是:

    1. ORDER BY columnName  

    如果使用#{}将无法实现此功能,因为如果这样的话,执行的sql就变成了
    1. ORDER BY "columnName"  

    那样,你可以试一下,会报错的,无效列名,sql语句报错:

  • 相关阅读:
    iris数据集
    codevs 1262 不要把球传我 2012年CCC加拿大高中生信息学奥赛
    codevs 1742 爬楼梯(水题日常)
    codevs 2277 爱吃皮蛋的小明(水题日常)
    洛谷 P3386 【模板】二分图匹配
    vijos 1190 繁忙的都市
    codevs 1487 大批整数排序(水题日常)
    洛谷 P2820 局域网
    codevs 1683 车厢重组(水题日常)
    codevs 1228 苹果树
  • 原文地址:https://www.cnblogs.com/DoubleEggs/p/6243235.html
Copyright © 2020-2023  润新知