温馨提示×

温馨提示×

您好,登录后才能下订单哦!

密码登录×
登录注册×
其他方式登录
点击 登录注册 即表示同意《亿速云用户服务条款》

Mybatis中#{}和${}有什么区别

发布时间:2020-06-03 21:56:59 来源:亿速云 阅读:310 作者:Leah 栏目:编程语言

Mybatis中#{}和${}有什么区别?针对这个问题,今天小编总结这篇有关#{}和${}之间的区别的文章,希望能帮助更多想解决这个问题的朋友找到更加简单易行的办法。

先来看一下#{},在mybatis中:
<mapper namespace="cn.xh.dao">
<select id="getCount" parameterType="String"   resultType="int">
select count() from user where age = #{value}
</select>
</mapper>
#{value}会被传入的内容替换,替换的时候将传入的内容当成字符串,加上引号:例如传入的内容为23,sql语句会变为select count(
) from user where age= ‘23’
这里是运行日志:

从日志可以看出实际上是相当于执行了这段代码:
String sql = "select count(*) from user where age = ?";
preparedStatement = connection.prepareStatement(sql);
preparedStatement.setString(1, “23”);
通过调用preparedStatement的setString方法传入参数可以防止sql注入,安全性更高。如果只传入一个参数该参数的名字可以随意取。

再来看一下${}:

<mapper namespace="cn.xh.dao">
<select id="getCount" parameterType="String"   resultType="int">
select count() from ${value}
</select>
</mapper>
${value}会被传入的内容替换,注意此处是直接替换,不会加上引号。例如传入的内容为 user 则sql语句变为:select count(
) from user
看运行日志:

从运行日志可以看出这里是直接拼接字符串。
总结一下#{}和${}之间的区别:
#{}:传入的内容会被作为字符串,被加上引号,以预编译的方式传入,安全性高,可以防止sql注入。
${}:传入的内容会直接拼接,不会加上引号,可能存在sql注入的安全隐患。
所以能用#{}的地方就用#{},但是诸如传入表名,需要排序的时候order by 字段 的 “字段名”的时候可以用${}.

看完上述内容,你们对Mybatis中#{}和${}的区别大概了解了吗?如果想了解更多相关文章内容,欢迎关注亿速云行业资讯频道,感谢各位的阅读!

向AI问一下细节

免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。

AI