mybatis中 #{} 和 ${}

在mybatis中#{}表示一个占位符:

        1、#将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号

        2、#在很大程度上可以防止sql注入

        3、例如#{id}:#{}中的id表示输入的参数名称,如果输入参数是简单类型,那么#{}中的参数可以任意。

        4、能用#{}就别用${}
在mybatis中${}表示一个拼接符:

       1、${}将传入的数据直接显示生成在sql中。

       2、如果使用${},而你传入的是字符串,比如中文、英文。就必须这样:'${}',不然会报(Unknown column 'TT' in 'where clause')的错误,当然传入数字没问题。

       3、${value}: ${}中value表示输入的参数名称,如果输入的参数是简单类型,那么${}中的值只能是value

       4、${}存在sql注入的风险,慎用!但是在特殊场景下必须使用${},比如order by 语句后面要跟动态列,就得使用${colname}.

 

也就有这样一个问题 为什么${} 不安全 还要用 ${} ?

有一些场景是必须用 ${} 的

就是 一些string 类型的 不会给加上 ‘ ’ 比如order by 语句后面要跟动态列,就得使用${colname}.

 

这点没说仔细完全

posted @ 2018-05-07 15:31  乔胖胖  阅读(2790)  评论(0编辑  收藏  举报