标签:替换 阶段 机制 字符串替换 映射文件 预编译 执行 动态 防止
在Mybtis中的Mapper映射文件中,sql语句传参有两种方式#{}和${}
一般来说,我们通常使用的是#{},这里采用的是预编译机制,防止SQL注入,将#{}中的参数转义成字符串,例如:
执行SQL:Select * from users where username = #{username}
参数:username=lxd
解析后执行的SQL:Select * from users where username = ?
执行SQL:Select * from users where name = ${username}
参数:username传入值为:lxd
解析后执行的SQL:Select * from users where username =lxd
#{} 和 ${} 在预编译中的处理是不一样的。#{} 在预处理时,会把参数部分用一个占位符 ? 代替,变成如下的 sql 语句:
select * from user where username = ?;
而 ${} 则只是简单的字符串替换,在动态解析阶段,该 sql 语句会被解析成
select * from user where username = ‘lxd‘;
表名用参数传递进来的时候,只能使用 ${}
标签:替换 阶段 机制 字符串替换 映射文件 预编译 执行 动态 防止
原文地址:https://www.cnblogs.com/l-x-x-y-d-j/p/10224838.html
