MyBatis中的#和$的区别

时间：2015-02-12 09:16:53 阅读：144 评论：0 收藏：0 [点我收藏+]

标签：

遇到问题：

mybatis中，需要根据字段来进行group by，即分组，进行动态分组，由于mybatis没有提供该标签，用一下：

1 select * from table group by #{field}

但是，此时，不成功，参数是传入了进去，但是，结果显示，参数无效。

解决，此时使用了“$”符号来替换“#”号，即：

（注意：当使用${}参数作为字段名活表名时，需要制定statementType="STATEMENT"）

1 <select id="getInventoryViewByGroup" parameterType="map" resultMap="sumMap" statementType="STATEMENT">
2         SELECT * FROM table GROUP BY ${field} ORDER BY id
3 </select>

参考一下资料：

1. #将传入的数据都当成一个字符串，会对自动传入的数据加一个双引号。如：order by #user_id#，如果传入的值是111,那么解析成sql时的值为order by "111", 如果传入的值是id，则解析成的sql为order by "id".
　　
2. $将传入的数据直接显示生成在sql中。如：order by $user_id$，如果传入的值是111,那么解析成sql时的值为order by user_id, 如果传入的值是id，则解析成的sql为order by id.
　　
3. #方式能够很大程度防止sql注入。
　　
4.$方式无法防止Sql注入。

5.$方式一般用于传入数据库对象，例如传入表名.
　　
6.一般能用#的就别用$.

MyBatis排序时使用order by 动态参数时需要注意，用$而不是#

字符串替换
默认情况下，使用#{}格式的语法会导致MyBatis创建预处理语句属性并以它为背景设置安全的值（比如?）。这样做很安全，很迅速也是首选做法，有时你只是想直接在SQL语句中插入一个不改变的字符串。比如，像ORDER BY，你可以这样来使用：
ORDER BY ${columnName}
这里MyBatis不会修改或转义字符串。

重要：接受从用户输出的内容并提供给语句中不变的字符串，这样做是不安全的。这会导致潜在的SQL注入攻击，因此你不应该允许用户输入这些字段，或者通常自行转义并检查。

转载：http://weijun726.blog.163.com/blog/static/87342299201362652950398/

---恢复内容结束---

MyBatis中的#和$的区别

标签：

原文地址：http://www.cnblogs.com/gmq-sh/p/4287306.html

踩

(0)

评论一句话评论（0）

分享档案

更多>

2021年07月29日 (22)
2021年07月28日 (40)
2021年07月27日 (32)
2021年07月26日 (79)
2021年07月23日 (29)
2021年07月22日 (30)
2021年07月21日 (42)
2021年07月20日 (16)
2021年07月19日 (90)
2021年07月16日 (35)

周排行