学向勤中得,萤窗万卷书。这篇文章主要讲述MyBatis mapper文件中的变量引用方式#{}与${}的差别相关的知识,希望能为你提供帮助。
MyBatis mapper文件中的变量引用方式#{}与${}的差别
默认情况下,使用#{}语法,MyBatis会产生PreparedStatement语句中,并且安全的设置PreparedStatement参数,这个过程中MyBatis会进行必要的安全检查和转义。
示例1:
执行SQL:Select * from emp where name = #{employeeName}
参数:employeeName=>
Smith
解析后执行的SQL:Select * from emp where name = ?
执行SQL:Select * from emp where name = ${employeeName}
参数:employeeName传入值为:Smith
解析后执行的SQL:Select * from emp where name =Smith
综上所述、${}方式会引发SQL注入的问题、同时也会影响SQL语句的预编译,所以从安全性和性能的角度出发,能使用#{}的情况下就不要使用${}
但是${}在什么情况下使用呢?
有时候可能需要直接插入一个不做任何修改的字符串到SQL语句中。这时候应该使用${}语法。
比如,动态SQL中的字段名,如:ORDER BY ${columnName}
【MyBatis mapper文件中的变量引用方式#{}与${}的差别】注意:当使用${}参数作为字段名或表名时、需指定statementType为“STATEMENT”
推荐阅读
- Android源码博文集锦3
- SQL Server-Resource Monitor worker appears to be non-yielding on Node 0
- .NET环境下Configuration 与ConfigurationManager/ AppSettings 与 ConfigSections探讨
- Android项目引入actionbarsherlock作为library后混淆之后的异常
- webapp部署到tomcat服务器
- winxp系统如何安装格式工厂软件|winxp系统安装格式工厂工具的办法
- xp纯净版系统无法打开txt文本文档的处理办法
- xp系统qq邮箱下载附件打开不了如何处理
- 番茄花园xp系统怎样提升宽带连接速度|xp系统提升宽带连接速度的技巧