Mybatis 的Mapper.xml语句中parameterType向SQL语句传参有两种方式:#{}和${}
- #{}方式能够很大程度防止sql注入。
- $方式无法防止Sql注入。
- $方式一般用于传入数据库对象,例如传入表名.
- 一般能用#的就别用$.
#{}表示一个占位符即?,可以有效防止sql注入。在使用时不需要关心参数值的类型,mybatis会自动进行java类型和jdbc类型的转换。
#{}可以接收简单类型值或pojo属性值,如果传入简单类型值,#{}括号中可以是任意名称。
${}可以将parameterType 传入的内容拼接在sql中且不进行jdbc类型转换。
${}可以接收简单类型值或pojo属性值,如果传入简单类型值,${}括号中名称只能是value。
select * from goods
<if test="orderArgs!=null">
order by #{orderArgs}
</if>结果没有任何效果。最后把 #{} 改成 ${},结果正确。
动态 SQL 是 mybatis 的强大特性之一,也是它优于其他 ORM 框架的一个重要原因。mybatis 在对 sql 语句进行预编译之前,会对 sql 进行动态解析,解析为一个 BoundSql 对象,也是在此处对动态 SQL 进行处理的。在动态 SQL 解析阶段, #{ } 和 ${ } 会有不同的表现。
select * from goods order by #{orderArgs};
#{} 在动态解析的时候, 会解析成一个参数标记符。就是解析之后的语句是:
select * from goods order by ?; #{}在代入参数时,自动在参数前后加上字符串,最终形成的SQL语句就成了:
select * from goods order by "price",参数本来是列名,现在变成了一个字符串,结果自然不正确了。
那么我们使用 ${}的时候
select * from goods order by ${orderArgs};
${}在动态解析的时候,会将我们传入的参数当做String字符串填充到我们的语句中,就会变成下面的语句
selecxt * from goods order by price
预编译之前的 SQL 语句已经不包含变量了,完全已经是常量数据了。相当于我们普通没有变量的sql了,加了双引号,参数变成了一个字符串。
综上所得, ${ } 变量的替换阶段是在动态 SQL 解析阶段,而 #{ }变量的替换是在 DBMS 中。
对于order by排序,使用#{}将无法实现功能,应该写成如下形式:
ORDER BY ${columnName}另外,对于mybatis逆向工程生成的代码中,进行模糊查询调用andXxxLike()方法时,需要手动加%,如下:
CustomerExample customerExample=new CustomerExample();
customerExample.or().andNameLike("%"+name+"%");