一、Sql取值的两种形式
1.#{} - sql预编译取值
2.${} 直接字符串替换取值
二、使用方法
#{}使用预编译的方式,我们可以防止sql注入,我们平时使用的时候尽量使用这个,但是${}可以我们可以进行sql语句查询的拼接。
在这里解释一下什么是sql注入,就是黑客在搜索框输入与sql语句有关的字符串,后台接收进行数据查询,出现数据泄露的情况。
使用方法如下图:
Java代码,注意order使用
@Test
public void testFindByTitle(){
SqlSession session = null;
//openSession创建一个新的SqlSession对象,SqlSession提供了增删改查的方法调用
try {
session = sqlSessionFactory.openSession();
Map param = new HashMap();
param.put("title", "'' or 1 =1 or title = '【德国】爱他美婴幼儿配方奶粉1段800g*2罐 铂金版'");
param.put("order", " order by title desc");
List<Goods> list = session.selectList("goods.findByTitle" , param);
for (Goods goods : list) {
System.out.println(goods.getTitle() + "-" + goods.getCurrentPrice());
}
} catch (Exception e) {
e.printStackTrace();
}finally {
if (session != null) {
//将Connection归还到连接池供其他Session重用
session.close();
}
}
}
xml文件中sql语句
<!--
SQL注入
select * from t_goods
where title = '' or 1 =1 or title = '【德国】爱他美婴幼儿配方奶粉1段800g*2罐 铂金版'
${}如无必要,不要使用
#{}预编译传值,使用预编译传值可以预防SQL注入
select * from t_goods
where title = "'' or 1 =1 or title = '【德国】爱他美婴幼儿配方奶粉1段800g*2罐 铂金版'"
-->
<select id="findByTitle" parameterType="java.util.Map" resultType="com.itlaoqi.mybatis.entity.Goods">
select * from t_goods
where title = #{title}
${order}
</select>
