MyBatis中$和#各代表什么

MyBatis中$和#各代表什么？針對這個問題，這篇文章詳細(xì)介紹了相對應(yīng)的分析和解答，希望可以幫助更多想解決這個問題的小伙伴找到更簡單易行的方法。

1、#{ }是預(yù)編譯處理，MyBatis在處理#{ }時，它會將sql中的#{ }替換為？，然后調(diào)用PreparedStatement的set方法來賦值，傳入字符串后，會在值兩邊加上單引號，如上面的值 “4,44,514”就會變成“ ‘4,44,514' ”；

2、${ }是字符串替換， MyBatis在處理${ }時,它會將sql中的${ }替換為變量的值，傳入的數(shù)據(jù)不會加兩邊加上單引號。

注意：使用${ }會導(dǎo)致sql注入，不利于系統(tǒng)的安全性！

SQL注入：就是通過把SQL命令插入到Web表單提交或輸入域名或頁面請求的查詢字符串，最終達(dá)到欺騙服務(wù)器執(zhí)行惡意的SQL命令。

常見的有匿名登錄（在登錄框輸入惡意的字符串）、借助異常獲取數(shù)據(jù)庫信息等 應(yīng)用場合：

1、#{ }：主要用戶獲取DAO中的參數(shù)數(shù)據(jù),在映射文件的SQL語句中出現(xiàn)#{}表達(dá)式,底層會創(chuàng)建預(yù)編譯的SQL；

2、${ }:主要用于獲取配置文件數(shù)據(jù),DAO接口中的參數(shù)信息,當(dāng)$出現(xiàn)在映射文件的SQL語句中時創(chuàng)建的不是預(yù)編譯的SQL,而是字符串的拼接,有可能會導(dǎo)致SQL注入問題.所以一般使用$接收dao參數(shù)時,這些參數(shù)一般是字段名,表名等,例如order by {column}。

注：

${}獲取DAO參數(shù)數(shù)據(jù)時,參數(shù)必須使用@param注解進(jìn)行修飾或者使用下標(biāo)或者參數(shù)#{param1}形式；

#{}獲取DAO參數(shù)數(shù)據(jù)時,假如參數(shù)個數(shù)多于一個可有選擇的使用@param。

其實(shí)剛開始我也沒太去看sql里的#和$，我把sql放到數(shù)據(jù)庫跑一切正常，所以我就將代碼的執(zhí)行sql輸出到控制臺了，具體是這么一個輸出sql的配置文件：

輸出后，終于發(fā)現(xiàn)了問題在哪里。。。。

看了上面的區(qū)別介紹，相信大家其實(shí)都應(yīng)該知道區(qū)別在哪里，我們的問題在哪里，其實(shí)就是sql在in的時候 ，里面的數(shù)據(jù)被加了兩個雙引號?！皐wlr.LabelId in（4,44,514）就會變成 wwlr.LabelId in（'4,44,514′ ）；所以導(dǎo)致部分?jǐn)?shù)據(jù)查不到了。

解決辦法

1、快速解決

最快的方法就是把#直接替換成$，這樣問題應(yīng)該就可以解決了。

但是，我很無語，我確沒有解決。

本地跑代碼一點(diǎn)問題都沒有，部署到公司的docker上問題一樣沒解決，給人的感覺就是代碼根本沒有從#變$。

大家都知道$其實(shí)是有危險性，會容易被sql注入，具我所知道，我們公司的docker是會加一層防止 sql注入的功能 ，所以不知道是不是這個功能把的$無效掉了。

當(dāng)然，我也沒有去再到服務(wù)上打出sql來看一下，因?yàn)楸緛?就是不太安全的，所以我換了一種方式處理。 2、foreach標(biāo)簽的使用

foreach標(biāo)簽主要用于構(gòu)建in條件，他可以在sql中對集合進(jìn)行迭代。

先來看看語法：

通過上圖，大家也應(yīng)該也了解和使用這個標(biāo)簽了吧。

那對于我們項(xiàng)目中的改造，其實(shí)就是把原來傳進(jìn)來的字符型參數(shù)變成List<Integer>，這樣問題就完美的解決了，既實(shí)現(xiàn)了我們的功能 ，又解決了安全性問題。

關(guān)于MyBatis中$和#各代表什么問題的解答就分享到這里了，希望以上內(nèi)容可以對大家有一定的幫助，如果你還有很多疑惑沒有解開，可以關(guān)注億速云行業(yè)資訊頻道了解更多相關(guān)知識。