Mybatis将参数作为查询字段或表名
阿里云国内75折 回扣 微信号:monov8 |
阿里云国际,腾讯云国际,低至75折。AWS 93折 免费开户实名账号 代冲值 优惠多多 微信号:monov8 飞机:@monov6 |
在传入的参数作为select、create等后面的查询或创建列的字段名或表名时一定要使用“${column}”的格式而不能使用“#{column}”的格式。
- #{}将传入的参数当成一个字符串会给传入的参数加一个双引号
- ${}将传入的参数直接显示生成在sql中不会添加引号
- #{}能够很大程度上防止sql注入${}无法防止sql注入
在动态sql解析过程#{ }与${ }的效果是不一样的
#{ }解析为一个 JDBC 预编译语句prepared statement的参数标记符。
sql语句
select #{column},name from test where name = #{name};
会被解析为
select ?,name from test where name = ?;
#{ }被解析为一个参数占位符“”,select后面的“”在运行时会报异常无法解析。
${ } 仅仅为一个纯粹的字符串(String)替换在动态 SQL 解析阶段将会进行变量替换
sql语句
select ${column},name from test where name = ${name};
当传递参数“sex”、“user”时sql会解析为
select sex,name from test where name = "user";
可以看到预编译之前的sql语句已经不包含变量column和name了。
${}的变量的替换阶段是在动态 SQL 解析阶段而#{}的变量的替换是在 DBMS 中。
示例
<select id="selectStudentList" parameterMap="GetStudentParam" resultType="java.util.List">
select ${columnName} from ${tableName}
</select>