Mybatis中的mapper.xml裡面${} 和 #{}區別與用法
Mybatis 的Mapper.xml語句中parameterType向SQL語句傳參有兩種方式:#{}和${}
- #{}方式能夠很大程度防止sql注入。
- $方式無法防止Sql注入。
- $方式一般用於傳入資料庫物件,例如傳入表名.
- 一般能用#的就別用$.
#{}表示一個佔位符即?,可以有效防止sql注入。在使用時不需要關心引數值的型別,mybatis會自動進行java型別和jdbc型別的轉換。 #{}可以接收簡單型別值或pojo屬性值,如果傳入簡單型別值,#{}括號中可以是任意名稱。
${}可以將parameterType 傳入的內容拼接在sql中且不進行jdbc型別轉換。
${}可以接收簡單型別值或pojo屬性值,如果傳入簡單型別值,${}括號中名稱只能是value。
select * from goods
<if test="orderArgs!=null">
order by #{orderArgs}
</if>
結果沒有任何效果。最後把 #{} 改成 ${},結果正確。
動態 SQL 是 mybatis 的強大特性之一,也是它優於其他 ORM 框架的一個重要原因。mybatis 在對 sql 語句進行預編譯之前,會對 sql 進行動態解析,解析為一個 BoundSql 物件,也是在此處對動態 SQL 進行處理的。在動態 SQL 解析階段, #{ } 和 ${ } 會有不同的表現。 select * from goods order by #{orderArgs}; #{} 在動態解析的時候, 會解析成一個引數標記符。就是解析之後的語句是:
select * from goods order by ?; #{}在代入引數時,自動在引數前後加上字串,最終形成的SQL語句就成了:
select * from goods order by "price",引數本來是列名,現在變成了一個字串,結果自然不正確了。
那麼我們使用 ${}的時候
select * from goods order by ${orderArgs};
${}在動態解析的時候,會將我們傳入的引數當做String字串填充到我們的語句中,就會變成下面的語句 selecxt * from goods order by price 預編譯之前的 SQL 語句已經不包含變量了,完全已經是常量資料了。相當於我們普通沒有變數的sql了,加了雙引號,引數變成了一個字串。 綜上所得, ${ } 變數的替換階段是在動態 SQL 解析階段,而 #{ }變數的替換是在 DBMS 中。
對於order by排序,使用#{}將無法實現功能,應該寫成如下形式:
ORDER BY ${columnName}
另外,對於mybatis逆向工程生成的程式碼中,進行模糊查詢呼叫andXxxLike()方法時,需要手動加%,如下:
CustomerExample customerExample=new CustomerExample();
customerExample.or().andNameLike("%"+name+"%");