在Mybatis 的Mapper.xml語句中parameterType向SQL語句傳參有兩種方式:#{}和${}
我們經常使用的是#{},一般解說是因爲這種方式可以防止SQL注入,簡單的說#{}這種方式SQL語句是經過預編譯的,它是把#{}中間的參數轉義成字符串,舉個例子:
select * from student where student_name = #{name}
預編譯後,會動態解析成一個參數標記符?:
select * from student where student_name = ?
而使用${}在動態解析時候,會傳入參數字符串
select * from student where student_name = 'lyrics'
總結:#{} 這種取值是編譯好SQL語句再取值
${} 這種是取值以後再去編譯SQL語句
一: 理解mybatis中 $與#
在mybatis中的$與#都是在sql中動態的傳入參數。
eg:select id,name,age from student where name=#{name} 這個name是動態的,可變的。當你傳入什麼樣的值,就會根據你傳入的值執行sql語句。
二:使用$與#
#{}: 解析爲一個 JDBC 預編譯語句(prepared statement)的參數標記符,一個 #{ } 被解析爲一個參數佔位符 。
${}: 僅僅爲一個純碎的 string 替換,在動態 SQL 解析階段將會進行變量替換。
但是如果使用在order by 中就需要使用 $.
- #{}方式能夠很大程度防止sql注入。
- $方式無法防止Sql注入。
- $方式一般用於傳入數據庫對象,例如傳入表名.
- 一般能用#的就別用$.
舉個activiti工作流的例子:
select * from ${prefix}ACT_HI_PROCINST where PROC_INST_ID_ = #{processInstanceId}