引言:MyBatis 是一款优秀的持久层框架,它支持定制化 SQL、存储过程以及高级映射。
MyBatis的主要特性之一:动态sql,在 mapper 中定义的参数传到 xml 中之后,在查询之前, mybatis 会对其进行动态解析。#{}以及${}正是为mybatis提供的两种动态sql方法。
一、#{}以及${}两者的区别
1、防注入方面
- #{}:很大程度上能防止sql 注入
- ${}:不能防止sql 注入
2、符号类型方面
- #{}:参数占位符,即预编译
- ${} :字符串替换符,即SQL拼接
3、参数替换位置方面
DBMS:数据库管理系统(Database Management System)是一种操纵和管理数据库的大型软件,是用于建立、使用和维护数据库,简称DBMS。它对数据库进行统一的管理和控制,以保证数据库的安全性和完整性。用户通过DBMS访问数据库中的数据,数据库管理员也通过DBMS进行数据库的维护工作。它提供多种功能,可使多个应用程序和用户用不同的方法在同时或不同时刻去建立,修改和询问数据库。
- #{}:变量替换是在DBMS 中
- ${}:变量替换是在 DBMS 外
4、参数解析方面
- #{}:将传入的数据都当成一个字符串,会对传入的变量自动加一个单引号。如:user_id = #{userId},如果传入的值是111,那么解析成sql时的值为user_id = ‘111’,如果传入的值是id,则解析成的sql为user_id = ‘id’。
- ${}:将传入的参数直接显示生成在sql中,且不加任何引号。如:user_id = ${userId},如果传入的值是111,那么解析成sql时的值为user_id = 111 , 如果传入的值是id,则解析成的sql为user_id = id。
5、执行过程方面
- #{}:编译好SQL后语句再去取值
- ${}:取值以后再去编译SQL语句
6、多用#少用$(一般能用#的就不用$)
二、SQL具体解析
1、两者的流程
#{}:动态解析 -> 预编译 -> 执行
${}:动态解析 -> 编译 -> 执行
2、具体案例
根据用户名name查询用户表user数据,如果 name 的值为 luoxiang
2.1、SQL编写
#{}
select * from user where name = #{name};${}
select * from user where name = ${name};2.2、编译中处理
#{}:在预处理时,会把参数用一个占位符” ?” 代替,变成以下SQL
select * from user where name = ?;${}:只是简单的字符串替换,在动态解析时变成以下SQL
select * from user where name = 'luoxiang';当然了,最后的解析结果是一样的,都是
select * from user where name = 'luoxiang';版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至2705686032@qq.com 举报,一经查实,本站将立刻删除。原文转载: 原文出处:
