總結(jié)：

1.#可以防止Sql 注入，它會將所有傳入的參數(shù)作為一個(gè)字符串來處理。2.$ 則將傳入的參數(shù)拼接到Sql上去執(zhí)行，一般用于表名和字段名參數(shù)，$ 所對應(yīng)的參數(shù)應(yīng)該由服務(wù)器端提供，前端可以用參數(shù)進(jìn)行選擇，避免 Sql 注入的風(fēng)險(xiǎn)

為什么？

為什么# 和 $ 的作用不同，Mybatis 對他們做了哪些慘無人道的處理，我們看一下下面的例子，并追蹤一下源碼總結(jié)。

示例代碼：

創(chuàng)建一個(gè) tb_class 表（具體字段不做解釋）。

創(chuàng)建一個(gè) ClassDao.java 并使用注解的方式 ，tableName 代表查詢的表，id代表主鍵 ：

public interface ClassDao { /** * 測試 # 和 $ 符號區(qū)別 * @param tableName 表名 * @param id 主鍵 * @return */ @Select('select * from ${tableName} where class_id = #{id}') ClassInfo selectEntityByTableNameAndId(@Param('tableName') String tableName, @Param('id') Integer id);}

創(chuàng)建一個(gè)Test 方法：

@Test public void testMybatis() throws IOException { ClassInfo classInfo = classDao.selectEntityByTableNameAndId('tb_class', 1); System.err.println('classInfo : ' + JSONObject.toJSONString(classInfo)); }

源碼分析：

看過代碼的小伙伴應(yīng)該知道， Mybatis 執(zhí)行 入口是 DefaultSqlSession.selectOne(）方法。我們Debug 啟動 testMybatis（）方法，并在 DefaultSqlSession.selectOne()添加斷點(diǎn)，一行行執(zhí)行Mybatis 代碼：

一步步向下走，當(dāng)走到代碼： org.apache.ibatis.executor.statement.PreparedStatementHandler#query方法時(shí)，可以看到 PreparedStatement 相信大家對這個(gè)應(yīng)該不會陌生，預(yù)編譯Sql并通過占位符的方式放置參數(shù)，現(xiàn)在 我們對比一下我們在 Dao 中的 sql ： select * from ${tableName} where class_id = #{id}

如圖所示，我們會發(fā)現(xiàn)， Mybatis 已經(jīng)將 sql中 ${tableName} 替換成了 tb_class ，#{id} 也已經(jīng)變成了 占位符 ？，生成了 Sql ： select * from tb_class where class_id = ?。這已經(jīng)是一目了然了，Mybaitis 封裝了JDBC ,執(zhí)行時(shí)會將我們注解 或 Mapper 中的 Sql 和參數(shù)進(jìn)行處理，并交給 PreparedStatement 來執(zhí)行。

至于Mybatis怎么修改的Sql 大家可以Debug追蹤 org.apache.ibatis.mapping.BoundSql 中參數(shù) sql 來理解。

到此這篇關(guān)于淺談Mybatis #和$區(qū)別以及原理的文章就介紹到這了,更多相關(guān)Mybatis #和$區(qū)別內(nèi)容請搜索好吧啦網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持好吧啦網(wǎng)！