浅谈Mybatis #和$区别以及原理

浅谈Mybatis #和$区别以及原理

总结：

1.#可以防止Sql 注入，它会将所有传入的参数作为一个字符串来处理。

2.$ 则将传入的参数拼接到Sql上去执行，一般用于表名和字段名参数，$ 所对应的参数应该由服务器端提供，前端可以用参数进行选择，避免 Sql 注入的风险

为什么？

为什么# 和 $ 的作用不同，Mybatis 对他们做了哪些惨无人道的处理，我们看一下下面的例子，并追踪一下源码总结。

示例代码：

创建一个 tb_class 表（具体字段不做解释）。

创建一个 ClassDao.java 并使用注解的方式 ，tableName 代表查询的表，id代表主键 ：

public interface ClassDao {

/**

* 测试 # 和 $ 符号区别

* @param tableName 表名

* @param id 主键

* @return

*/

@Select("select * from ${tableName} where class_id = #{id}")

ClassInfo selectEntityByTableNameAndId(@Param("tableName") String tableName, @Param("id") Integer id);

}

创建一个Test 方法：

@Test

public void testMybatis() throws IOException {

ClassInfo classInfo = classDao.selectEntityByTableNameAndId("tb_class", 1);

System.err.println("classInfo : " + jsONObject.toJSONString(classInfo));

}

源码分析：

看过代码的小伙伴应该知道， Mybatis 执行 入口是 DefaultSqlSession.selectOne(）方法。我们Debug 启动 testMybatis（）方法，并在 DefaultSqlSession.selectOne()添加断点，一行行执行Mybatis 代码：

一步步向下走，当走到代码： org.apache.ibatis.executor.statement.PreparedStatementHandler#query方法时，可以看到 PreparedStatement 相信大家对这个应该不会陌生，预编译Sql并通过占位符的方式放置参数，现在 我们对比一下我们在 Dao 中的 sql ： select * from ${tableName} where class_id = #{id}

如图所示，我们会发现， Mybatis 已经将 sql中 ${tableName} 替换成了 tb_class ，#{id} 也已经变成了 占位符 ？，生成了 Sql ： select * from tb_class where class_id = ?。这已经是一目了然了，Mybaitis 封装了JDBC ,执行时会将我们注解 或 Mapper 中的 Sql 和参数进行处理，并交给 PreparedStatement 来执行。

至于Mybatis怎么修改的Sql 大家可以Debug追踪 org.apache.ibatis.mapping.BoundSql 中参数 sql 来理解。

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。