iBATIS的绑定变量有两种方式,#value#方式和$value$方式
1.#value#方式:例如语句SELECT * FROM emp WHERE emp_no = #value#实际执行时,iBATIS会使用prepareStatement方式,执行语句SELECT * FROM emp WHERE emp_no = ?,并将对应的参数值设置为value。这种方式下操作符是写在SQL Map中的,可以避免SQL注入的风险,非常安全。2.$value$方式:例如语句SELECT * FROM emp WHERE $value$这种方式常用于构建动态SQL语句,如在本例中,假设value值为emp_no in (1,2,3),则实际执行时,iBATIS会执行语句SELECT * FROM emp WHERE emp_no in (1,2,3)。这种方式下操作符是传入的,存在SQL注入的风险,不安全。实际使用中,对于根据条件查询的方式,推荐在sqlMapConfig中使用动态语句的方式实现,如下所示:<select id="searchUser" resultClass="user" parameterClass="map"> select id,userName,score,regDate,loginTime from demo_user where 1=1 <dynamic> <isNotNull property="username" prepend="and"> userName like #username# </isNotNull> <isNotNull property="fromid" prepend="and"> id <![CDATA[>=]]> #fromid# </isNotNull> <isNotNull property="toid" prepend="and"> id <![CDATA[<=]]> #toid# </isNotNull> </dynamic> </select>相对$value$方式而言,这种方式比较麻烦,但是从效率和安全的角度考虑是合适的。
本文来自博客,转载请标明出处:http://blog.csdn.net/zhouxianli/archive/2008/07/28/2723593.aspx
