總結：

1.#可以防止Sql 注入，它會將所有傳入的參數作為一個字符串來處理。2.$ 則將傳入的參數拼接到Sql上去執行，一般用于表名和字段名參數，$ 所對應的參數應該由服務器端提供，前端可以用參數進行選擇，避免 Sql 注入的風險

為什么？

為什么# 和 $ 的作用不同，Mybatis 對他們做了哪些慘無人道的處理，我們看一下下面的例子，并追蹤一下源碼總結。

示例代碼：

創建一個 tb_class 表（具體字段不做解釋）。

創建一個 ClassDao.java 并使用注解的方式 ，tableName 代表查詢的表，id代表主鍵 ：

public interface ClassDao { /** * 測試 # 和 $ 符號區別 * @param tableName 表名 * @param id 主鍵 * @return */ @Select('select * from ${tableName} where class_id = #{id}') ClassInfo selectEntityByTableNameAndId(@Param('tableName') String tableName, @Param('id') Integer id);}

創建一個Test 方法：

@Test public void testMybatis() throws IOException { ClassInfo classInfo = classDao.selectEntityByTableNameAndId('tb_class', 1); System.err.println('classInfo : ' + JSONObject.toJSONString(classInfo)); }

源碼分析：

看過代碼的小伙伴應該知道， Mybatis 執行 入口是 DefaultSqlSession.selectOne(）方法。我們Debug 啟動 testMybatis（）方法，并在 DefaultSqlSession.selectOne()添加斷點，一行行執行Mybatis 代碼：

一步步向下走，當走到代碼： org.apache.ibatis.executor.statement.PreparedStatementHandler#query方法時，可以看到 PreparedStatement 相信大家對這個應該不會陌生，預編譯Sql并通過占位符的方式放置參數，現在 我們對比一下我們在 Dao 中的 sql ： select * from ${tableName} where class_id = #{id}

如圖所示，我們會發現， Mybatis 已經將 sql中 ${tableName} 替換成了 tb_class ，#{id} 也已經變成了 占位符 ？，生成了 Sql ： select * from tb_class where class_id = ?。這已經是一目了然了，Mybaitis 封裝了JDBC ,執行時會將我們注解 或 Mapper 中的 Sql 和參數進行處理，并交給 PreparedStatement 來執行。

至于Mybatis怎么修改的Sql 大家可以Debug追蹤 org.apache.ibatis.mapping.BoundSql 中參數 sql 來理解。

到此這篇關于淺談Mybatis #和$區別以及原理的文章就介紹到這了,更多相關Mybatis #和$區別內容請搜索好吧啦網以前的文章或繼續瀏覽下面的相關文章希望大家以后多多支持好吧啦網！