從印度兵力分佈聊聊Mybatis中#和$的區別

簡介

你們在使用Mybatis的過程當中可能都會本身去寫SQL語句，而且須要向SQL語句傳入參數。

可是在Mybatis中，傳參的語法有兩種，#{name} 和 ${name},二者有什麼區別呢？一塊兒來看看吧。

舉個例子

最近印度比較囂張，頻繁挑起邊境衝突，那麼印度是否是這麼有底氣呢？

咱們看一下印度的兵力分佈表：

其實印度軍隊仍是挺強大的，是南亞的頂級軍事強國。他擁有世界第三規模的現役部隊，而且其陸軍規模是世界第二。

印度是世界最大的武器進口國，進口固然有利有弊，弊端就是本國的武器研發實力不強。固然印度是世界上少數擁有核武器的國家。

查詢舉例

好了，有了印度的兵力分佈表以後，咱們怎麼在mybatis中編寫sql語句經過編號來查詢印度的兵力分佈呢？

<select id="getIndiaTroopsById" resultType="com.flydean.IndiaTroop">
    select * from troops t
    where  t.id =#{id}
  </select>

你們通常都會像上面那樣編寫查詢sql語句。

上面咱們使用了#{id}做爲傳遞的參數。那麼#{id}有什麼特色呢？

{id}的特色

首先，#{id}表示傳遞過來的id是String格式的，好比我傳遞過來的id=2，那麼sql語句將會被解析爲：

select * from troops t where t.id = '2'

第二，#{id}是會通過預編譯的，也就是說上面的sql語句會會動態解析成一個參數標記符?：

select * from troops t where t.id = ？

而後才進行參數替換。預編譯有什麼好處呢？

預編譯的好處就是能夠防止SQL注入。

${id}的特色

首先${id}不會進行預編譯，傳入是什麼就被替換成什麼。因此有SQL注入的危險。

仍是上面的例子，若是咱們使用${id}：

<select id="getIndiaTroopsById" resultType="com.flydean.IndiaTroop">
    select * from troops t
    where  t.id =${id}
  </select>

若是咱們傳入參數2，那麼相應的sql語句就是：

select * from troops t where t.id = 2

第二，${id}是取值以後再進行編譯，沒法防止SQL注入。

總結

咱們總結一下這兩個傳參的不一樣使用場景：

${id}般用於傳入數據庫對象，例如傳入表名。

能用#的時候就不要用$。

本文做者：flydean程序那些事

本文連接：http://www.flydean.com/difference-between-sharp-and-dollor/

本文來源：flydean的博客

歡迎關注個人公衆號:程序那些事，更多精彩等着您！