簡介
大家在使用Mybatis的過程中可能都會自己去寫SQL語句,並且需要向SQL語句傳入參數。
但是在Mybatis中,傳參的語法有兩種,#{name} 和 ${name},兩者有什麼區別呢?一起來看看吧。
舉個例子
最近印度比較囂張,頻繁挑起邊境衝突,那麼印度是不是這麼有底氣呢?
我們看一下印度的兵力分佈表:
其實印度軍隊還是挺強大的,是南亞的頂級軍事強國。他擁有世界第三規模的現役部隊,並且其陸軍規模是世界第二。
印度是世界最大的武器進口國,進口當然有利有弊,弊端就是本國的武器研發實力不強。當然印度是世界上少數擁有核武器的國家。
查詢舉例
好了,有了印度的兵力分佈表之後,我們怎麼在mybatis中編寫sql語句通過編號來查詢印度的兵力分佈呢?
<select id="getIndiaTroopsById" resultType="com.flydean.IndiaTroop">
select * from troops t
where t.id =#{id}
</select>
大家一般都會像上面那樣編寫查詢sql語句。
上面我們使用了#{id}作爲傳遞的參數。那麼#{id}有什麼特點呢?
#{id}的特點
首先,#{id}表示傳遞過來的id是String格式的,比如我傳遞過來的id=2,那麼sql語句將會被解析爲:
select * from troops t where t.id = '2'
第二,#{id}是會經過預編譯的,也就是說上面的sql語句會會動態解析成一個參數標記符?:
select * from troops t where t.id = ?
然後才進行參數替換。預編譯有什麼好處呢?
預編譯的好處就是可以防止SQL注入。
${id}的特點
首先${id}不會進行預編譯,傳入是什麼就被替換成什麼。所以有SQL注入的危險。
還是上面的例子,如果我們使用${id}:
<select id="getIndiaTroopsById" resultType="com.flydean.IndiaTroop">
select * from troops t
where t.id =${id}
</select>
如果我們傳入參數2,那麼相應的sql語句就是:
select * from troops t where t.id = 2
第二,${id}是取值之後再進行編譯,無法防止SQL注入。
總結
我們總結一下這兩個傳參的不同使用場景:
${id}般用於傳入數據庫對象,例如傳入表名。
能用#的時候就不要用$。
本文作者:flydean程序那些事
本文鏈接:http://www.flydean.com/difference-between-sharp-and-dollor/
本文來源:flydean的博客
歡迎關注我的公衆號:程序那些事,更多精彩等着您!