（易懂）Mybatis中${}和#{}的区别和使用注意

一、区别

1. ${}使用字符串拼接的方式拼接sql，如果数据是字符串类型或日期，我们需要手动加引号,而#{}会自动加上引号

2. #{}安全${}不安全容易造成sql注入。sql注入就是改变sql的语法规则，进行sql命令攻击

3. #{}是经过预编译的,是安全的,而${}是未经过预编译的,仅仅是取变量的值,是非安全的

4.sql和java一样预编译会省去编译的时间，提升效率

二、如何选择和使用#{}和${}

1、有#{}选#{}

2、如果数据是表的字段，例如Order by 那么我们可以使用#{}

3、加上注解@param（""）给参数重命名，相当于加了一层密数据库字段名称要保密，防止别人拿到

4、${}加注解：by${重命名} 不加注解by${value}

5、重点案例——模糊查询（也可以先看这个）

一、区别

1. ${}使用字符串拼接的方式拼接sql，如果数据是字符串类型或日期，我们需要手动加引号,而#{}会自动加上引号

2. #{}安全${}不安全容易造成sql注入。sql注入就是改变sql的语法规则，进行sql命令攻击

3. #{}是经过预编译的,是安全的,而${}是未经过预编译的,仅仅是取变量的值,是非安全的

4.sql和java一样预编译会省去编译的时间，提升效率

二、如何选择和使用#{}和${}

1、有#{}选#{}

2、如果数据是表的字段，例如Order by 那么我们可以使用#{}

3、加上注解@param（""）给参数重命名，相当于加了一层密数据库字段名称要保密，防止别人拿到

4、${}加注解：by${重命名} 不加注解by${value}

5、重点案例——模糊查询（也可以先看这个）

为了更方便地看出区别，我们可以加一个mybatis的日志。

代码加在SqlMapConfig.xml中

然后我们运行一个上篇文章增的例子：https://blog.csdn.net/hefangxuxing/article/details/124439417?spm=1001.2014.3001.5502

@Test
    public void insert(){
        User user =new User();
        user.setBirthday(new Date());
        user.setAddress("印度");
        user.setSex("男");
        user.setUsername("刘墉");
        //提交
        int count =mapper.insert(user);
        session.commit();
        System.out.println(count);
    }

    
        insert into user(username,birthday,sex,address)
        values(#{username},#{birthday},#{sex},#{address})

日志的？是占位符 #{}就是用占位符，然后自动帮你拼接。

而${}是字符串拼接里面value他不认识值，想认识值需要加注解

接下来我们可以通过一个模糊查询的例子来体验下二者的异同

 @Test
    public void likeByName(){

        List users =mapper.likeByName("熊");
        for (User user:users){
            System.out.println(user.toString());
        }
    }

    
        select * from user where username like '%${username}%'

 public List likeByName(@Param("username") String name);

这里我们为了让用户可以通过输入熊来查询名字中间有熊的所以使用了${}

而接口中likeByName方法用了注解，把变量进行了重命名加密。

如果使用#{}的话还想让用户不需要输入%熊%

你有什么方法吗？可以练习一下

----------------------------------------------------------

我的做法：

 
    public void likeByName(String username){
        String name = "%"+username+"%";
        List users =mapper.likeByName(name);
        for (User user:users){
            System.out.println(user.toString());
        }
    }
       
   @Test
   public void diaoyong (){
    mapper.likeByName("熊")

}

（易懂）Mybatis中${}和#{}的区别和使用注意

一、区别

1. ${}使用字符串拼接的方式拼接sql，如果数据是字符串类型或日期，我们需要手动加引号,而#{}会自动加上引号

2. #{}安全${}不安全 容易造成sql注入。sql注入就是改变sql的语法规则，进行sql命令攻击

3. #{}是经过预编译的,是安全的,而${}是未经过预编译的,仅仅是取变量的值,是非安全的

4.sql和java一样 预编译会省去编译的时间，提升效率

二、如何选择和使用#{}和${}

1、有#{}选#{}

2、如果数据是表的字段，例如Order by 那么我们可以使用#{}

3、加上注解@param（""）给参数重命名，相当于加了一层密 数据库字段名称要保密，防止别人拿到

4、${}加注解：by${重命名} 不加注解by${value}

Java相关栏目本月热门文章

2. #{}安全${}不安全容易造成sql注入。sql注入就是改变sql的语法规则，进行sql命令攻击

4.sql和java一样预编译会省去编译的时间，提升效率

3、加上注解@param（""）给参数重命名，相当于加了一层密数据库字段名称要保密，防止别人拿到