Mybatis中的mapper.xml里面${} 和 #{}区别与用法

Mybatis 的Mapper.xml语句中parameterType向SQL语句传参有两种方式:#{}和${}

  • #{}方式能够很大程度防止sql注入。
  • $方式无法防止Sql注入。
  • $方式一般用于传入数据库对象,例如传入表名.
  • 一般能用#的就别用$.

#{}表示一个占位符即?,可以有效防止sql注入。在使用时不需要关心参数值的类型,mybatis会自动进行java类型和jdbc类型的转换。 
#{}可以接收简单类型值或pojo属性值,如果传入简单类型值,#{}括号中可以是任意名称。

${}可以将parameterType 传入的内容拼接在sql中且不进行jdbc类型转换。 
${}可以接收简单类型值或pojo属性值,如果传入简单类型值,${}括号中名称只能是value。

select * from goods 



    order by #{orderArgs}

结果没有任何效果。最后把 #{} 改成 ${},结果正确。

动态 SQL 是 mybatis 的强大特性之一,也是它优于其他 ORM 框架的一个重要原因。mybatis 在对 sql 语句进行预编译之前,会对 sql 进行动态解析,解析为一个 BoundSql 对象,也是在此处对动态 SQL 进行处理的。在动态 SQL 解析阶段, #{ } 和 ${ } 会有不同的表现。
select * from goods order by  #{orderArgs}; 
#{} 在动态解析的时候, 会解析成一个参数标记符。就是解析之后的语句是:

select * from goods order by ?;  #{}在代入参数时,自动在参数前后加上字符串,最终形成的SQL语句就成了:

select * from goods order by "price",参数本来是列名,现在变成了一个字符串,结果自然不正确了。

那么我们使用 ${}的时候

select * from goods order by ${orderArgs}; 

${}在动态解析的时候,会将我们传入的参数当做String字符串填充到我们的语句中,就会变成下面的语句
selecxt * from goods order by price
预编译之前的 SQL 语句已经不包含变量了,完全已经是常量数据了。相当于我们普通没有变量的sql了,加了双引号,参数变成了一个字符串。
综上所得, ${ } 变量的替换阶段是在动态 SQL 解析阶段,而 #{ }变量的替换是在 DBMS 中。

对于order by排序,使用#{}将无法实现功能,应该写成如下形式:

ORDER BY ${columnName}

  另外,对于mybatis逆向工程生成的代码中,进行模糊查询调用andXxxLike()方法时,需要手动加%,如下:

CustomerExample customerExample=new CustomerExample();
        customerExample.or().andNameLike("%"+name+"%");

你可能感兴趣的:(java)