时间:2021-05-20
#{变量名}可以进行预编译、类型匹配等操作,#{变量名}会转化为jdbc的类型。
select * from tablename where id = #{id}假设id的值为12,其中如果数据库字段id为字符型,那么#{id}表示的就是'12',如果id为整型,那么id就是12,并且MyBatis会将上面SQL语句转化为jdbc的select * from tablename where id=?,把?参数设置为id的值。
${变量名}不进行数据类型匹配,直接替换。
select * from tablename where id = ${id}如果字段id为整型,sql语句就不会出错,但是如果字段id为字符型, 那么sql语句应该写成
select * from table where id = '${id}'#方式能够很大程度防止sql注入。
$方式无法方式sql注入。
$方式一般用于传入数据库对象,例如传入表名。
尽量多用#方式,少用$方式。
mybatis框架作为一款半自动化的持久层框架,其sql语句都要我们自己来手动编写,这个时候当然需要防止sql注入。其实Mybatis的sql是一个具有“输入+输出”功能,类似于函数的结构,如下:
select id="getBlogById" resultType="Blog" parameterType=”int”>select id,title,author,content from blog where id=#{id} </select>这里,parameterType标示了输入的参数类型,resultType标示了输出的参数类型。回应上文,如果我们想防止sql注入,理所当然地要在输入参数上下功夫。上面代码中高亮部分即输入参数在sql中拼接的部分,传入参数后,打印出执行的sql语句,会看到sql是这样的:
select id,title,author,content from blog where id = ?不管输入什么参数,打印出的sql都是这样的。这是因为mybatis启用了预编译功能,在sql执行前,会先将上面的sql发送给数据库进行编译,执行时,直接使用编译好的sql,替换占位符“?”就可以了。因为sql注入只能对编译过程起作用,所以这样的方式就很好地避免了sql注入的问题。
以上所述是小编给大家介绍的MyBatis中#号与美元符号的区别,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对网站的支持!
声明:本页内容来源网络,仅供用户参考;我单位不保证亦不表示资料全面及准确无误,也不保证亦不表示这些资料为最新信息,如因任何原因,本网内容或者用户因倚赖本网内容造成任何损失或损害,我单位将不会负任何法律责任。如涉及版权问题,请提交至online#300.cn邮箱联系删除。
Mybatis与Ibatis的区别:1、Mybatis实现了接口绑定,使用更加方便在ibatis2.x中我们需要在DAO的实现类中指定具体对应哪个xml映射文件
经过测试发现mysql中用与!=都是可以的,但sqlserver中不识别!=,所以建议用selece*fromjb51whereid45sql里符号于!=的区别
Perl的特殊符号@数组$x{}x名字前面是美元符号($),后面是花括号({}),则其为hash元素%要引用整个hash,使用百分号(“)作为前缀。前面几页中使
命名风格1、【强制】代码中的命名均不能以下划线或美元符号开始,也不能以下划线或美元符号结束。反例:_name/__name/$name/name_/name$/
为了梳理前面学习的《Spring整合MyBatis(Maven+MySQL)一》与《Spring整合MyBatis(Maven+MySQL)二》中的内容,准备做