关于java:Mybatis9-Mybatis占位符和拼接符有什么区别

6次阅读

共计 2893 个字符，预计需要花费 8 分钟才能阅读完成。

代码间接放在 Github 仓库【https://github.com/Damaer/Myb…】，可间接运行，就不占篇幅了。

[TOC]

1.#{}占位符能够用来设置参数，如果传进来的是根本类型，也就是 (string,long,double,int,boolean,float 等)，那么 #{} 外面的变量名能够随便写，什么 abc,xxx 等等，这个名字和传进来的参数名能够不统一。

2. 如果传进来的是 pojo 类型，那么 #{} 中的变量名必须是 pojo 的属性名，能够写成 属性名 , 也能够写 属性名. 属性名。

参数是int，不须要设置parameterType：

<delete id="deleteStudentById" >
    delete from student where id=#{XXXdoukeyi}
</delete>

parameterType是 pojo 类, 如果应用 pojo 类型作为参数，那么必须提供 get 办法，也就是框架在运行的时候须要通过反射依据 #{} 中的名字，拿到这个值放到 sql 语句中，如果占位符中的名称和属性不统一，那么报ReflectionException。

<insert id="insertStudent" parameterType="Student">
    insert into student(name,age,score) values(#{name},#{age},#{score})
</insert>

3.#{}占位符不能解决的三类问题：

动静表名不能够用 #{}：Select * from #{table}
动静列名不能够用 #{} : select #{column} from table
动静排序列不能够用 #{} : select * from table order by #{column}

留神：不能这样写：

<insert id="insertStudent" parameterType="Student">
    insert into student(name,age,score) values(#{Student.name},#{Student.age},#{Student.score})
</insert>

否则会报一个谬误 (会将Student 当成一个属性)，所以咱们类名就间接省略不写就能够了：

### Cause: org.apache.ibatis.reflection.ReflectionException: There is no getter for property named 'Student' in 'class bean.Student'

1. 如果传进来的是根本类型，也就是 (string,long,double,int,boolean,float 等)，那么 #{} 外面的变量名必须写value。

<delete id="deleteStudentById" >
    delete from student where id=${value}
</delete>

2. 如果传进来的是 pojo 类型，那么 #{} 中的变量名必须是 pojo 的属性名，能够写成 属性名 , 也能够写 属性名. 属性名 。 然而因为是拼接的形式，对于字符串咱们须要本人加引号。

<insert id="insertStudent" parameterType="Student">
    insert into student(name,age,score) values('${name}',${age},${score})
</insert>

与下面一样，不能将类名写进来：

<!-- 这是谬误的 -->
<insert id="insertStudent" parameterType="Student">
    insert into student(name,age,score) values('${Student.name}',${Student.age},${Student.score})
</insert>

3.${}占位符是字符串连接符，能够用来动静设置表名，列名，排序名

动静表名：Select * from ${table}
动静列名 : select ${column} from table
动静排序 : select * from table order by ${column}

4.${}能够作为连接符应用, 然而这样的形式是 不平安的，很容易产生 sql 注入问题，sql 注入问题能够参考https://blog.csdn.net/aphysia…：

<select id="selectStudentsByName" resultType="Student">
    select id,name,age,score from student where name like '%${value}%'
</select>

1. 能应用 #{} 的时候尽量应用#{}，不应用${}。

2.#{}相当于 jdbc 中的 preparedstatement（预编译），${} 是间接应用外面的值进行拼接，如果解释预编译和间接拼接，我想能够这么了解预编译：比方将一个 #{name} 传进来，预编译是先将 sql 语句编译成为模板，也就是我晓得你要干什么，假如这个 sql 是要查问名字为 xxx 的学生信息，那无论这个 xxx 外面是什么信息，我都只会去依据名字这一列查问，外面无论写的是什么，都只会当做一个字符串，这个类型在预编译的时候曾经定义好了。

3.${}就不一样，是将语句拼接之后才确定查问条件 / 类型的，那么就会有被注入的可能性，有些人成心将名字设置为删除条件，这时候 sql 就变成删除操作了。

所以咱们个别相似含糊查问都是用 #{} 拼接

<select id="selectStudentsByName" resultType="Student">
    select id,name,age,score from student where name like '%' #{name} '%'
</select>

然而对于 order by 咱们是用不了#{} 的，因为用了这个就会被主动转换成字符串，主动加引号，这样语句就不失效了。

<select id="selectStudentsByName" resultType="Student">
    select id,name,age,score from student order by #{column}
</select>

<!-- 编译进去的后果如下：-->
select * from table order by 'column'

那咱们须要怎么解决呢？咱们只能应用 ${}，MyBatis 不会批改或本义字符串。这样是不平安的，会导致潜在的 SQL 注入攻打，咱们须要本人限度，不容许用户输出这些字段，或者通常自行本义并查看。所以这必须过滤输出的内容。

【作者简介】：
秦怀，公众号【秦怀杂货店】作者，技术之路不在一时，山高水长，纵使迟缓，驰而不息。这个世界心愿所有都很快，更快，然而我心愿本人能走好每一步，写好每一篇文章，期待和你们一起交换。

此文章仅代表本人（本菜鸟）学习积攒记录，或者学习笔记，如有侵权，请分割作者核实删除。人无完人，文章也一样，文笔稚嫩，在下不才，勿喷，如果有谬误之处，还望指出，感激不尽~

正文完