占位符:#{name}
模糊查询:‘%{value}%’
模糊查询使用占位符:“%”#{name}“%”
字符串拼接(%${}%)和占位符(#{})的区别
SQL中各有一个比较有意思的事情,当我们使用字符串拼接的时候我们会使用%王%,
这样会导致sql注入(不安全)
但是在sql中可以使用两个双引号包裹%来解决
“%”‘王’“%”
在mtbayis中将‘王’用#{}
字符串拼接 ${} 与 占位符#{} 区别 :
1> #{} 防SQL注入攻击,尽量使用
2> ${}:${1} <==> 1 (没有引号)
${王} <==>王 (没有引号)
所以SQL语句中 LIKE '%${value}%',等价于 LIKE '%王%'。
3> #{}:#{1} <==> '1'
#{王} <==> '王'
SQL语句中使用时 LIKE "%"#{name}"%",等价于 LIKE "%"'王'"%"
注:笔记内容只是记录,未进行实测
- #{} 占位符,会在传递过来的值加上''括起来,推荐使用(防止SQL注入)
- ${} 字符串拼接,原本值是什么就传递什么,如"%${}%"
占位符拼接
授课教师
SIKI学院老师
课程特色
下载资料(1)
视频(37)
