.
在使用mybatis操作数据库的时候,我们在编写sql语言的时候,会遇到一个问题,就是在传参的时候,有两个符号#,$.这两个符号有什么异同呢,接下来,我就会带着大家对这个问题进行简单的探讨
本质区别:
#执行的是预编译SQL,$执行的是即时SQL.
#{} 使用的是预编译SQL, 通过 ? 占位的方式, 提前对SQL进行编译, 然后把参数填充到SQL语句中. #{} 会根据参数类型, 自动拼接引号 ‘’ .
${} 会直接进行字符替换, ⼀起对SQL进行编译. 如果参数为字符串, 需要加上引号 ‘’ ,因为它不会自动拼接引号 ‘’ .
使用注意事项
防止SQL注入
SQL注入:是通过操作输入的数据来修改事先定义好的SQL语句,以达到执行代码对服务器进行攻击的方法。
因此,${}有SQL注入的风险,我们应该尽量使用#{}
排序
在做sql排序的时候,desc和asc不能添加引号''‘,因此我们只能使用${}
like查询
like查询表达式:
‘%参数%’
如果参数使用#{},则会给参数自动添加一个'',查询会报错,因此我们不能使用#{},但是使用${}又可能会导致SQL注入,因此我们需要用其他的方法来解决问题
解决办法: 使用mysql 的内置函数 concat() 来处理,实现代码如下:
like concat('%',#{参数},'%')
原文地址:https://blog.csdn.net/qq_65291053/article/details/135961820
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。
如若转载,请注明出处:http://www.7code.cn/show_63913.html
如若内容造成侵权/违法违规/事实不符,请联系代码007邮箱:suwngjj01@126.com进行投诉反馈,一经查实,立即删除!
