${param}表达式主要用户获取配置文件数据,DAO接口中的参数信息,当 $ 出现在映射文件的 SQl 语句中时创建的不是预编译的 SQL ,而是字符串的拼接有可能会导致 SQL 注入的问题,所以一般使用 $ 接收 DAO 参数时,这些参数一般是字段名,表名等.例如 order by {column}
#{param} 表达式主要是用户获取 DAO 中的参数数据,在映射文件的SQL 语句中出现 #{} 表达式,底层会创建预编译的 SQL .性能会相对较好
${} 获取 DAO 参数数据时,参数必须使用 @param 注解进行修饰
#{} 获取 DAO 参数数据时,假如参数个数多于一个,可有选择的使用@param
1、#{ }将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。 如:
delete from user where name= #{name}实际相当于一个占位符:
delete from user where name= ?
如果传入的值是123,那么解析成sql时的值为 delete from user where name= 123, 如果传入的值是字符串 Rose,则解析成的sql为delete from user where name= 'Rose'
2、${ }将传入的数据直接显示生成在sql中,即原样拼接。对于
delete from user where name= ${name}如果传入的值int类型的123,那么解析成sql时的值为
delete from user where name= 123
如果传入的值是字符串Rose,则解析成的sql为
delete from user where name= Rose
这样就是错误的,必须将原来的语句改为
delete from user where name= '${name}'3、#方式能够防止sql注入;$方式无法防止Sql注入
$方式一般用于传入数据库对象,例如传入表名
默认情况下,使用#{}格式的语法会导致MyBatis创建预处理语句属性并以它为背景设置安全的值。这样做很安全,很迅速也是首选做法,有时只是想直接在SQL语句中插入一个不改变的字符串,可以使用${ }。
1、#{ }:多用于传递查询的参数;一般用在用户输入值的地方,在sql中:字段 比较符号(=、>、<、!=、<>) #{用户输入的值};
2、${ }:一般用于传入数据库对象,例如传入表名,如:$(表名);一般用于order by的后面,如:order by $(字段);表名作为变量时,必须使用 ${ };用在我们能够确定值的地方,也就是我们程序员自己赋值的地方;
3、如果传递参数是对象:#{}和${}都是ognl表达式来获取 (对象导航语言 属性.属性.属性)
<update id="updateUserByID" parameterType="domain.User">
update user set username=#{username},sex=#{sex},birthday=#{birthday} where id=#{id}
</update>以上为个人经验,希望能给大家一个参考,也希望大家多多支持。
