从一个问题分析到 mybatis # 与 $ 区别

1、首先要从一个sql查询说起,小编有一个需求,由于数据量比较大,是分表的,

根据不同的输入号码,到不同的表中查询,取编号前两位,就能路由到对应该表;

例如号码 33***********,对应存储数据的表名就是:tableName_33,所以这样表名作为sql动态参数传入,

就是非常方便的;

最开始这么写的:

2、但是运行以后报错了,报错日志粘贴:

Cause: java.sql.SQLSyntaxErrorException: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''name_roster_33' where id_card='33***'' at line 1
; bad SQL grammar []; nested exception is java.sql.SQLSyntaxErrorException: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''name_roster_33' where id_card='33***'' at line 1
    at org.springframework.jdbc.support.SQLErrorCodeSQLExceptionTranslator.doTranslate(SQLErrorCodeSQLExceptionTranslator.java:231) ~[spring-jdbc-4.3.13.RELEASE.jar:4.3.13.RELEASE]
    at org.springframework.jdbc.support.AbstractFallbackSQLExceptionTranslator.translate(AbstractFallbackSQLExceptionTranslator.java:73) ~[spring-jdbc-4.3.13.RELEASE.jar:4.3.13.RELEASE]
    at org.mybatis.spring.MyBatisExceptionTranslator.translateExceptionIfPossible(MyBatisExceptionTranslator.java:73) ~[mybatis-spring-1.3.1.jar:1.3.1]

 

3、报错异常截图如下:

从一个问题分析到 mybatis # 与 $ 区别_第1张图片

 

4、检查了一下并也没有sql语法拼写错误,

sql预编译语句:SQL: select roster_type from ? where id_card=?

仔细检查一下报错日志,name_roster_33是我的表名,为什么编译出来后被加了引号呢?

check the manual that corresponds to your MySQL server version for the right syntax to use near ''name_roster_33' where id_card='330404199920091229'' at line 1
; bad SQL grammar []

 

5、这才想起可能是占位符使用的问题,那么就要到 ${} 和 #{}问题上:

#{}会被解析为预编译语句(Prepared statement)的参数标记符,把参数部分用占位符 ? 代替:

select roster_type from ? where id_card=?  ,

预编译以后,传入的参数都会带上单引号'',所以无法进行sql注入;

 

${} 为字符串替换,即 sql 拼接,不会加上单引号 '',传入什么参数就是什么参数:

这里的表名,传入name_roster_33,sql就会解析成 select roster_type from name_roster_33 where id_card=?  , ,就会去查询这张表,不报错了;

但是这种方式,有sql注入风险,所以能用 #{}的时候,我们就用,如果不能用例如在表名是参数,或者 order by, group by  后面需要跟列名的时候,也需要用 ${}才能正确解析sql语句;

 

你可能感兴趣的:(Mybatis)