mybatis #与$的区别与用法

随着开发团队转投Google Code旗下,ibatis3.x正式更名为Mybatis

我在开发过程中,我主要是喜欢mybatis可以让开发者灵活的编写sql语句。其中动态变量算是用的最多的了。

mybatis支持两种动态的往sql语句中嵌入变量的方式,一种是用#,另一种是$。

#appId#,使用#,是使用预编译处理,mybatis会先用?占位(等同于prepareStatement),再传给配置的数据库进行处理。数据库处理时,会根据变量的类型,进行值替
换。如果是VARCHAR,就会加上引号,这样可以很好的防止sql注入。

$appid$,使用$,mybatis会直接进行值替换,变量类型不影响。如果需要匹配的是字符串,那么编写的sql语句就需要手动的加上引号,比如  ‘$appid$’,一些其他的函数也是类似的。一般只有在需要传入表名、列名这些数据库保留字段时,才会使用$$。因为是直接值替换,所以使用$是不安全的。假如在一个登陆场景下,开发者没有手动加引号,用户在密码输入框输入 or 1=1 ,直接进行值替换,最后的sql语句可能就是   username
= ‘username’ or 1=1 ,这样,会找出所有的用户信息。

mybatis只是做了sql替换,比如使用#就等同于prepareStatement,使用$就相当于开发者直接写好了sql。真正做处理的还是数据库服务器。比如预编译,数据库会在缓存中保留传进来的预编译,当下次有相同结构的sql请求执行时,数据库就可以更快的进行处理。

IT文库 » mybatis #与$的区别与用法
分享到: 更多 (0)

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址