動態 sql 是 mybatis 的強大特性之一,也是它優於其他 orm 框架的乙個重要原因。mybatis 在對 sql 語句進行預編譯之前,會對 sql 進行動態解析,解析為乙個 boundsql 物件,也是在此處對動態 sql 進行處理的。在動態 sql 解析階段, # 和 會有不
同的表現
1.都可以
獲取物件
中的屬性
值,
會有不同的表現 1.都可以獲取物件中的屬性值,
會有不同的表
現1.都
可以獲取
物件中的
屬性值,
[name] 和#[name]相同
2.#可以防止sql注入.先把sql中使用#的地方變成?佔位 再設定引數值,
select * from user where name = # and password = #select * from user where name = ? and password = ?select * from user where name = $;select * from user where name = 「***」;
預編譯之前的 sql 語句已經不包含變數了,完全已經是常量資料了。相當於我們普通沒有變數的sql了。
$會導致sql注入,可以拼接sql
select * from user where name = $[name] and password = $[password]最終上面的sql會變成——>
select * from user where name = or 1 = 1 or and password =引數值?: 'name』
select * from user where name = ? and password = ?**總結:**一般的使用#獲取資料即可,在分組和排列操作值使用,如果連線乙個
引數值使
用,如果連線乙個引數值使用
,如果連線一
個引數值
使用,拼接一段sql使用$.
*#*方式能夠很大程度防止sql注入。
$方式無法防止sql注入。
katex parse error: expected 'eof', got '#' at position 31: …如傳入表名. 一般能用#̲的就別用.
在使用mybatis的時候,盡量的使用#方式
myBatis中 和 區別
1.將傳入的資料都當成乙個字串,會對自動傳入的資料加乙個雙引號。如 order by user id 如果傳入的值是111,那麼解析成sql時的值為order by 111 如果傳入的值是id,則解析成的sql為order by id 2.將傳入的資料直接顯示生成在sql中。如 order by u...
mybatis 中 和 區別
在使用mybatis 框架時 在xml的配置檔案中,通常是使用 來獲取數值的 如 select from t user inf where id 這時 如果你傳入的值為zhangsan 則會編譯成為 select from t user inf where id zhangsan mybatis 會...
Mybatis 中 和 區別
號與 區別 號表示引數,代表乙個字串。如 select a,b,c from table1 where id value 傳入引數後如 value 1 則可生成 select a,b,c from table1 where id 1 select a,b,c from table1 where ci...