Mybatis中${param}与#{param}的区别说明

${param}与#{param}的区别

${param}表达式主要用户获取配置文件数据，DAO接口中的参数信息，当 $ 出现在映射文件的 SQl 语句中时创建的不是预编译的 SQL ，而是字符串的拼接有可能会导致 SQL 注入的问题，所以一般使用 $ 接收 DAO 参数时，这些参数一般是字段名，表名等.例如 order by {column}

#{param} 表达式主要是用户获取 DAO 中的参数数据，在映射文件的SQL 语句中出现 #{} 表达式，底层会创建预编译的 SQL .性能会相对较好

${} 获取 DAO 参数数据时，参数必须使用 ＠param 注解进行修饰

#{} 获取 DAO 参数数据时，假如参数个数多于一个，可有选择的使用@param

Mybatis中#{}与${}使用总结

#{ }与${ }的区别

1、#{ }将传入的数据都当成一个字符串，会对自动传入的数据加一个双引号。 如：

delete from user where name= #{name}

实际相当于一个占位符：

delete from user where name= ？

如果传入的值是123,那么解析成sql时的值为 delete from user where name= 123, 如果传入的值是字符串 Rose，则解析成的sql为delete from user where name= 'Rose'

2、${ }将传入的数据直接显示生成在sql中，即原样拼接。对于

delete from user where name= ${name}

如果传入的值int类型的123,那么解析成sql时的值为

delete from user where name= 123

如果传入的值是字符串Rose，则解析成的sql为

delete from user where name= Rose

这样就是错误的,必须将原来的语句改为

delete from user where name= '${name}'

3、#方式能够防止sql注入；$方式无法防止Sql注入

$方式一般用于传入数据库对象，例如传入表名

默认情况下，使用#{}格式的语法会导致MyBatis创建预处理语句属性并以它为背景设置安全的值。这样做很安全，很迅速也是首选做法，有时只是想直接在SQL语句中插入一个不改变的字符串,可以使用${ }。

使用总结

1、#{ }：多用于传递查询的参数；一般用在用户输入值的地方，在sql中：字段 比较符号（=、>、<、!=、<>） #{用户输入的值}；

• 如果传递参数是基本类型（非字符类型），获取参数是原样获取， 如果是字符串，#{}获取时会自动给加一个引号。
• 对于基本类型和String类型可以在#{ }内任意填写，一半填写对应值。

2、${ }：一般用于传入数据库对象，例如传入表名，如：$(表名)；一般用于order by的后面，如：order by $(字段)；表名作为变量时，必须使用 ${ }；用在我们能够确定值的地方，也就是我们程序员自己赋值的地方；

• 如果传递是基本类型的阐述，int，String等等。${}只能写value，如${value}

3、如果传递参数是对象：#{}和${}都是ognl表达式来获取 （对象导航语言 属性.属性.属性）

• 如：

<update id="updateUserByID" parameterType="domain.User">
 update user set username=#{username},sex=#{sex},birthday=#{birthday} where id=#{id}
</update>

• #{}内的内容必须是User对应的属性值。

以上为个人经验，希望能给大家一个参考，也希望大家多多支持脚本之家。

最新评论