MyBatis 中 ${}和 #{}的正確使用方法(千萬不要亂用)
1、#{}是預編譯處理,MyBatis在處理#{ }時,它會將sql中的#{ }替換為?,然后調用PreparedStatement的set方法來賦值,傳入字符串后,會在值兩邊加上單引號,如上面的值 “4,44,514”就會變成“ ‘4,44,514’ ”;
2、是字符串替換,在處理是字符串替換,MyBatis在處理時,它會將sql中的{}是字符串替換,在處理{ }是字符串替換, MyBatis在處理{ }時,它會將sql中的是字符串替換,在處理是字符串替換,MyBatis在處理時,它會將sql中的{ }替換為變量的值,傳入的數據不會加兩邊加上單引號。
注意:使用${ }會導致sql注入,不利于系統的安全性!SQL注入:就是通過把SQL命令插入到Web表單提交或輸入域名或頁面請求的查詢字符串,最終達到欺騙服務器執行惡意的SQL命令。常見的有匿名登錄(在登錄框輸入惡意的字符串)、借助異常獲取數據庫信息等
package com.xiaobu.mapper;import com.xiaobu.base.mapper.MyMapper;import com.xiaobu.entity.Country;import java.util.List;/** * @author xiaobu * @version JDK1.8.0_171 * @date on 2018/11/27 19:21 * @description V1.0 */public interface CountryMapper extends MyMapper<Country> { /** * 功能描述:通過#{}來進行查詢 * * @param ids id * @return java.util.List<com.xiaobu.entity.Country> * @author xiaobu * @date 2019/7/26 11:53 * @version 1.0 */ List<Country> findList(String ids); /** * 功能描述:通過${}來進行查詢 * * @param ids id * @return java.util.List<com.xiaobu.entity.Country> * @author xiaobu * @date 2019/7/26 11:53 * @version 1.0 */ List<Country> findList2(String ids); /** * 功能描述: 通過foreach來進行查詢 * * @param ids id * @return java.util.List<com.xiaobu.entity.Country> * @author xiaobu * @date 2019/7/26 11:53 * @version 1.0 */ List<Country> findListByForEach(List<Integer> ids);}
<?xml version='1.0' encoding='UTF-8' ?><!DOCTYPE mapper PUBLIC '-//mybatis.org//DTD Mapper 3.0//EN' 'http://mybatis.org/dtd/mybatis-3-mapper.dtd' ><mapper namespace='com.xiaobu.mapper.CountryMapper'> <select resultType='com.xiaobu.entity.Country'> select * from country where id in (#{ids} ) </select> <select resultType='com.xiaobu.entity.Country'> select * from country where id in (${ids} ) </select> <select parameterType='List' resultType='com.xiaobu.entity.Country'> select * from country where id in <foreach collection='list' index='index' item='item' open='(' separator=',' close=')'> #{item} </foreach> </select></mapper>
@Test public void countTotal(){ //統計總數 SELECT COUNT(Id) FROM country Example example = new Example(City.class); int count =countryMapper.selectCountByExample(example); System.out.println('count = ' + count); //按條件查詢 SELECT COUNT(Id) FROM country Country country = new Country(); //country.setCountryname('1234'); int conunt2 = countryMapper.selectCount(country); System.out.println('conunt2 = ' + conunt2); } @Test public void findList(){ //Preparing: select * from country where id in ( ’1,2,3’) List<Country> countries = countryMapper.findList('1,2,3'); //countries = [Country(countryname=Angola, countrycode=AO)] System.out.println('countries = ' + countries); //報錯 There is no getter for property named ’ids’ in ’class java.lang.String List<Country> countries2 = countryMapper.findList2('1,2,3'); System.out.println('countries2 = ' + countries2); } @Test public void findListByForeach(){ //Preparing: select * from country where id in ( ? , ? , ? ) //Parameters: 1(Integer), 2(Integer), 3(Integer) List<Integer> list = new ArrayList<>(3); list.add(1); list.add(2); list.add(3); List<Country> countries2 = countryMapper.findListByForEach(list); System.out.println('countries2 = ' + countries2); }
foreach 說明
item表示集合中每一個元素進行迭代時的別名, index指 定一個名字,用于表示在迭代過程中,每次迭代到的位置, open表示該語句以什么開始, separator表示在每次進行迭代之間以什么符號作為分隔符, close表示以什么結束。 collection指參數類型到此這篇關于MyBatis 中 ${}和 #{}的正確使用方法(千萬不要亂用)的文章就介紹到這了,更多相關MyBatis ${}和 #{}內容請搜索好吧啦網以前的文章或繼續瀏覽下面的相關文章希望大家以后多多支持好吧啦網!
相關文章:
1. Mysql入門系列:建立MYSQL客戶機程序的一般過程2. 恢復從 Access 2000、 Access 2002 或 Access 2003 中數據庫刪除表的方法3. 啟動MYSQL出錯 Manager of pid-file quit without updating file.4. mysql數據存放的位置在哪5. Mysql入門系列:MYSQL創建、刪除、索引和更改表6. Microsoft Office Access修改代碼字體大小的方法7. ACCESS轉SQL數據庫相關的幾個技能8. 循序漸進講解Oracle數據庫管理員的職責9. DB2 XML 全文搜索之為文本搜索做準備10. 數據庫人員手冊之ORACLE應用源碼
網公網安備