如果用%进行模糊查询,#{}表示一个占位符会被翻译为一个?号(SELECT * FROM USER WHERE id= #{id},SELECT * FROM USER WHERE id= ?),向占位符输入参数,mybatis自动进行java类型和jdbc类型(String,date,整型)的转换。程序员不需要考虑参数的类型,比如:传入字符串,mybatis最终拼接好的sql就是参数两边加单引号,所以不能写成’%#{}%’,因为#{}会自动加上单引号。${}:不是占位符,表示sql的拼接,通过${}接收参数,将参数的内容不加任何修饰拼接在sql中(select * from user where username like '%小明%')。
#{}接收pojo数据,可以使用OGNL解析出pojo的属性值,${}也可以接收pojo数据,可以使用OGNL解析出pojo的属性值。
${}缺点:不能防止sql注入,SELECT * FROM USER WHERE username= ‘zhansan’ or ‘1=1’,这也叫sql拼接,所以为了防止sql注入,采用预编译statement。
mybatis开发过程小结
1、编写SqlMapConfig.xml
2、编写mapper.xml
定义了statement
3、编程通过配置文件创建SqlSessionFactory
4、通过SqlSessionFactory获取SqlSession
5、通过SqlSession操作数据库
如果执行添加、更新、删除需要调用SqlSession.commit()
6、SqlSesion使用完成要关闭
