关于java:Mybatis9-Mybatis占位符和拼接符有什么区别

32次阅读

共计 2893 个字符,预计需要花费 8 分钟才能阅读完成。

代码间接放在 Github 仓库【https://github.com/Damaer/Myb…】,可间接运行,就不占篇幅了。

[TOC]

1.#{}占位符

1.#{}占位符能够用来设置参数,如果传进来的是根本类型,也就是 (string,long,double,int,boolean,float 等),那么 #{} 外面的变量名能够随便写,什么 abc,xxx 等等,这个名字和传进来的参数名能够不统一。

2. 如果传进来的是 pojo 类型,那么 #{} 中的变量名必须是 pojo 的属性名,能够写成 属性名 , 也能够写 属性名. 属性名

参数是int,不须要设置parameterType

<delete id="deleteStudentById" >
    delete from student where id=#{XXXdoukeyi}
</delete>

parameterTypepojo 类, 如果应用 pojo 类型作为参数,那么必须提供 get 办法,也就是框架在运行的时候须要通过反射依据 #{} 中的名字,拿到这个值放到 sql 语句中,如果占位符中的名称和属性不统一,那么报ReflectionException

<insert id="insertStudent" parameterType="Student">
    insert into student(name,age,score) values(#{name},#{age},#{score})
</insert>

3.#{}占位符不能解决的三类问题:

动静表名不能够用 #{}:Select * from #{table}
动静列名不能够用 #{} : select #{column} from table
动静排序列不能够用 #{} : select * from table order by #{column}

留神:不能这样写:

<insert id="insertStudent" parameterType="Student">
    insert into student(name,age,score) values(#{Student.name},#{Student.age},#{Student.score})
</insert>

否则会报一个谬误 (会将Student 当成一个属性),所以咱们类名就间接省略不写就能够了:

### Cause: org.apache.ibatis.reflection.ReflectionException: There is no getter for property named 'Student' in 'class bean.Student'

2.${}拼接符

1. 如果传进来的是根本类型,也就是 (string,long,double,int,boolean,float 等),那么 #{} 外面的变量名必须写value

<delete id="deleteStudentById" >
    delete from student where id=${value}
</delete>

2. 如果传进来的是 pojo 类型,那么 #{} 中的变量名必须是 pojo 的属性名,能够写成 属性名 , 也能够写 属性名. 属性名 然而因为是拼接的形式,对于字符串咱们须要本人加引号。

<insert id="insertStudent" parameterType="Student">
    insert into student(name,age,score) values('${name}',${age},${score})
</insert>

与下面一样,不能将类名写进来:

<!-- 这是谬误的 -->
<insert id="insertStudent" parameterType="Student">
    insert into student(name,age,score) values('${Student.name}',${Student.age},${Student.score})
</insert>

3.${}占位符是字符串连接符,能够用来动静设置表名,列名,排序名

动静表名:Select * from ${table}
动静列名 : select ${column} from table
动静排序 : select * from table order by ${column}

4.${}能够作为连接符应用, 然而这样的形式是 不平安的,很容易产生 sql 注入问题,sql 注入问题能够参考https://blog.csdn.net/aphysia…

<select id="selectStudentsByName" resultType="Student">
    select id,name,age,score from student where name like '%${value}%'
</select>

3.#{}与 ${}区别

  • 1. 能应用 #{} 的时候尽量应用#{},不应用${}
  • 2.#{}相当于 jdbc 中的 preparedstatement(预编译),${} 是间接应用外面的值进行拼接,如果解释预编译和间接拼接,我想能够这么了解预编译:比方将一个 #{name} 传进来,预编译是先将 sql 语句编译成为模板,也就是我晓得你要干什么,假如这个 sql 是要查问名字为 xxx 的学生信息,那无论这个 xxx 外面是什么信息,我都只会去依据名字这一列查问,外面无论写的是什么,都只会当做一个字符串,这个类型在预编译的时候曾经定义好了。
  • 3.${}就不一样,是将语句拼接之后才确定查问条件 / 类型的,那么就会有被注入的可能性,有些人成心将名字设置为删除条件,这时候 sql 就变成删除操作了。
  • 所以咱们个别相似含糊查问都是用 #{} 拼接
<select id="selectStudentsByName" resultType="Student">
    select id,name,age,score from student where name like '%' #{name} '%'
</select>
  • 然而对于 order by 咱们是用不了#{} 的,因为用了这个就会被主动转换成字符串,主动加引号,这样语句就不失效了。
<select id="selectStudentsByName" resultType="Student">
    select id,name,age,score from student order by #{column}
</select>

<!-- 编译进去的后果如下:-->
select * from table order by 'column'

那咱们须要怎么解决呢?咱们只能应用 ${}MyBatis 不会批改或本义字符串。这样是不平安的,会导致潜在的 SQL 注入攻打,咱们须要本人限度,不容许用户输出这些字段,或者通常自行本义并查看。所以这必须过滤输出的内容。

【作者简介】
秦怀,公众号【秦怀杂货店】作者,技术之路不在一时,山高水长,纵使迟缓,驰而不息。这个世界心愿所有都很快,更快,然而我心愿本人能走好每一步,写好每一篇文章,期待和你们一起交换。

此文章仅代表本人(本菜鸟)学习积攒记录,或者学习笔记,如有侵权,请分割作者核实删除。人无完人,文章也一样,文笔稚嫩,在下不才,勿喷,如果有谬误之处,还望指出,感激不尽~

正文完
 0