目录
1. ${}使用字符串拼接的方式拼接sql,如果数据是字符串类型或日期,我们需要手动加引号,而#{}会自动加上引号
2. #{}安全${}不安全 容易造成sql注入。sql注入就是改变sql的语法规则,进行sql命令攻击
3. #{}是经过预编译的,是安全的,而${}是未经过预编译的,仅仅是取变量的值,是非安全的
2、如果数据是表的字段,例如Order by 那么我们可以使用#{}
3、加上注解@param("")给参数重命名,相当于加了一层密 数据库字段名称要保密,防止别人拿到
4、${}加注解:by${重命名} 不加注解by${value}
为了更方便地看出区别,我们可以加一个mybatis的日志。
需要注意的是要加在前面。
<settings>
<setting name="logImpl" value="STDOUT_LOGGING"/>
<!-- 设置mybatis的日志-->
<!-- logImpl:表示对日志的控制-->
<!-- "STDOUT_LOGGING"打印在控制台上-->
</settings>代码加在SqlMapConfig.xml中
然后我们运行一个上篇文章增的例子:https://blog.csdn.net/hefangxuxing/article/details/124439417?spm=1001.2014.3001.5502
@Test
public void insert(){
User user =new User();
user.setBirthday(new Date());
user.setAddress("印度");
user.setSex("男");
user.setUsername("刘墉");
//提交
int count =mapper.insert(user);
session.commit();
System.out.println(count);
}
<insert id="insert" parameterType="com.qcby.entity.User">
insert into user(username,birthday,sex,address)
values(#{username},#{birthday},#{sex},#{address})
</insert>
日志的?是占位符 #{}就是用占位符,然后自动帮你拼接。
而${}是字符串拼接 里面value他不认识值,想认识值需要加注解
接下来我们可以通过一个模糊查询的例子来体验下二者的异同
@Test
public void likeByName(){
List<User> users =mapper.likeByName("熊");
for (User user:users){
System.out.println(user.toString());
}
} <select id="likeByName" resultType="com.qcby.entity.User"
parameterType="java.lang.String">
select * from user where username like '%${username}%'
</select> public List<User> likeByName(@Param("username") String name);这里我们为了让用户可以通过输入熊 来查询名字中间有熊的所以使用了${}
而接口中likeByName方法用了注解,把变量进行了重命名加密。
如果使用#{}的话还想让用户不需要输入%熊%
你有什么方法吗?可以练习一下
----------------------------------------------------------
我的做法:
public void likeByName(String username){
String name = "%"+username+"%";
List<User> users =mapper.likeByName(name);
for (User user:users){
System.out.println(user.toString());
}
}
@Test
public void diaoyong (){
likeByName("熊")
}