mybatis排序 mybatis排序插件

北大青鸟ja培训：程序员应该选择ja还是c#？

重要：接受从用户输出的内容并提供给语句中不变的字符串，这样做是不安全的。这会导致潜在的SQL注入攻击，因此不应该允许用户输入这些字段，或者通常自行转义并检查。

ja还是c#？其实这不应该是我们真正的主题，而且入了行的也很少会ja还是c#这么比，但初学的，ja和c#往往就代表了两大流派，ja代替了j2ee，c#代替了，ok，没有关系，这么作为title，不影响我们说事。

mybatis排序 mybatis排序插件

mybatis排序 mybatis排序插件

如果从语言的角度上来讲，c#毫无疑问胜出，易用、门槛低、优雅、较为简洁。

但ja和c#的语言特性是相似的。

在很多类的命名上，它们都如出一辙：//jaSystem.out.println("ja比C#强！j-a-v-a！");//C#System.WriteLine("你没看到#是4个+吗，我比c++还强2个+，你就歇菜吧！");c#出现的时间比ja晚，所以自然吸收、借鉴，同时又有它的创新，比如很早就支持lamda表达式、比如nt和委托，比如var，比如linq。

而.Net的类库和jdk则各有千秋。

如果从应用的角度来看，jaee和.Net体系几乎都涵盖了主流的开发方向：桌面、Web、服务端、数据库、网络、移动端、中间件。

哪个方向，哪个更强？这个留给读者自己体会吧。

微软给.Net一个宇宙最强的IDE，也给了各个方向统一而平滑的编程体验，不得不说，微软的上手要容易的多。

而ja则一开始就和开源分不开，多如牛毛的框架、引擎、包，blabla，用ja开发，程序员要懂得东西更多一些。

应为你大部分情况下得自己整合。

但整合的好了就是很强大的，比如SSH。

在近几年很热的大数据和云计算领域，hadoop、spark、tez、lldb、mongodb、mariadb、hive、hbase，还有oracle，都各自在自己不同的层面发力，大部分的这些都对ja是极为友好的。

很多ja程序员，都觉得搞开发的，就是拖拖控件而已，其实我可以告诉你，说出这种话的ja程序员一般都还比较小白，如果你是搞的，你也可以说搞ja的都是拷贝别人的开源软件的代码，然后改改而已。

当然改改没什么问题，谁都不喜欢重复造轮子，比如，google里面也并非全部是创新，经常”拿“别人的东西自己改吧改吧，淘宝就很不用说了，招了一些能改c、会点编译的程序员，经常拿各种开源框架开刀，然后表明是自己的东西。

比如双11的那个问题。

当然不是说淘宝找的人有问题，而是这个企业的文化就是销售和广告文化，后来的google也如此。

回到正题，wpf和silverlight（虽然已经EOL）中的创新莫过于xaml技术，如果你认为wpf只是wrm的简单升级，或者说你只会在wpf中拖控件，说明你还是一个非常初级的程序员，不管你工资上w没有，或者你已经是项目了。

xaml天生就是为mvvm模型而生，这一点，搞前端的同学，应该熟悉，即使你不懂wpf，js和html怎么做mvvm，你也应该体会过它的好处。

wpf中在xaml中布局控件，并支持INotifyPropertyChanged接口，可以非常容易的实现界面和数据分离，做出一个mvvm模型出来。

说到标记性语言，我们看看jsp的jstl、struts2的tags，还有aspmvc3之后的razor引擎：jstl和aspx的标签类似，自由、强大，可以很容易的穿插交织到html标记中；struts的标签就是个另类，我个人反感这种既不遵循主流标准也不简洁的东西，虽然好多人会说好用，那是个习惯问题，我这么说，不是说这东西难学难掌握，只是比较一下和razor引擎中的标签语法，弱爆了。

razor，强大、简洁、优雅。

你肯定觉得我是微软的粉丝，其实我想告诉你的是，最强的标签语言只有两种，html和xml，穿插动态语句到服务端页面上，然后刷出html，从来都不是好的做法，因为不只你一个人写代码，后面可能会有其他人维护这个页面，本来这是需要由webdesigner来做的事情，但是有了语句，他的维护成本就很高。

规范的页面开发，程序员是不会染指一个css、style的，动态语言在aspx、view、jsp上面应该尽量少用。

否则你不如使用php和as但如果从面向接口来讲，ja同样可以做到nt和listener，只不过对象引用的传递比较直接。p。

这一点，你会在工作中会深有体会的。

青春的你，怎么选择？看看现在的吧，动不动就是精通j2ee，精通struts、springmvc、hibernate或者mybatis，对mysql、oracle有深入理解，精通webserv、精通多线程，能处理高并发，有的还得懂jvm，有hadoop等开发经验。

再来个211以上。

方面呢？精通.Net，精通mvc3-5、精通wpf、wcf、多线程，mssql等等等等。

我现在处于离职状态，所以每天收到猎聘上的一些，都很郁闷，因为没有一项是我精通的。

而且，仔细想想，代码中经常讲到要容易维护、这个设计模式、那个AOP，这个大并发，那个高性能，我个人没有见到容易维护的代码。

学习一个新公司的一套模式，一套老产品，比学习一门新技术需要的时间长得多，你会发现，99%的情况下，你最需要的，不是什么代码，模式，而是对产品的理解、对业务的理解，很多情况下，除非太菜太小白，大家的代码都不多，谁有时间重构代码？程序员又为何加班？这是行情，一个项目接一个项目，公司需要挣钱的，这是大部分公司的现状。

一些疑问访问数据库，随便找个高效的connector或者driver就行了，一般提供数据的厂家，谁不提供connector？ORM是很必要，但是追求性能和反框架泛滥的公司不在乎ORM带来的那点便利性，用一个jdbc+sql照样写稳定高效的数据访问。

做web前端，真的需要自己写一个框架出来？真正需要这种开发的项目有几个呢？jQuery和d3，原生的jascript就够了，你写的也许不叫框架，最多就是个wrapper。

数据库的性索引、聚合索引、辅助索引都没搞清楚，就开始搞hadoop、spark、hbase、mongodb，用人单位也一再这么要求的，你的项目中真的有那么大的数据量？在传统的rdbms下解决不了？你开始知道轮子的概念了，并且知道不要重复造轮子。

可是你快不是程序员了，而是框架员了。

所以，回到ja还是c#，这个问题，要比我遇到的技术分裂要简单的多。

我的意见是，忘记ja或者c#的对立，如果要做一个开心、有自我追求、同时满足就业的程序员，你需要重视以下方面： 1.函数调用栈，这个很多高级程序员只知其然不知其所以然。

你可以不懂的汇编、函数入口、返回地址、寄存器，但你需要调试，你得深刻理解函数调用栈，无论是在dev模式调试struts开发的jsp页面，还是debug模式调试aspx页面，你得看懂调用栈的信息；2.基本的数据结构和算法，数据库中索引的组织方式，是B+树还是Hash，还是堆，你的公司有Web、桌面、移动用户，有社区，有产品，你可能要做个什么的，或者研究个社交图谱什么的，这门技术可以帮助你。

3.一门动态语言。

lua、python、jascript，都可以，你需要随时和系统进行交互，或者实现一个原型，或者用程序的方式来画点界面、数据图什么，它们够轻量、够快捷 4.一门重量级语言。

比如ja或者c#。

你靠它们吃饭。

5.理解跨平台的含义。

掌握一些基本的跨平台技术，比如xml、c、html、json。

6.重视网络编程的练习和理解，在你使用URLConnection或者MySqlConnection或者WebRequest的时候，你是否理解它们的生命周期和底层实现，用什么语言无所谓，你要记住tcp/ip协议和的基本特性。

这样不至于你写了几年程序，还不知道mod=t是什么原理。

7.找一个顺手的IDE，我个人不是CLI控，虽然不得不CLI，一个顺手的IDE真的可以提高生产效率。

搞.Netvs+resharper，搞jainlijIDEA. 8.关注一些热门而经典的领域，比如机器学习、图像处理、数据挖掘，即使已经有了mahout，不代表你不需要了解这些领域，你可能永远不会在工作中使用它们，但它们的思想值得你拥有，因为你选择了做程序员，而不是哪个公司的程序员。

剩下的，就是你的解决问题的思路和你实现的硬功夫（编码能力），我相信，很多看这篇文章的人，不能够轻易写出一个ftp，不能够不参考、不联网查询资料写出一个简单的快速排序，也不能够轻易写出一段通用分页SQL，但他们依然可以正常工作。

所以外面的功夫容易忘记，有网络就能拾起，内功才是入骨的东西。

架构不是学出来的，是你的理解到位了，恰好工作中有这么个需求，你就开始整合你的已知，然后开始选择轮子。

马上大四毕业了，现在想学ja语言，现在学习还来得及吗？

2.2.2 Set extend Collection

可以从现在开始策划你想去做而且比较容易实现的事情。如果比较久的话可以再读书。这样时间至少不是浪费掉的。读完了书就可以去实施。如果不行凭着学识也可以去找工作。总之就是提前做一些准备。

默认情况下，使用#{}格式的语导致MyBatis创建预处理语句属性并以它为背景设置安全的值（比如?）。这样做很安全，很迅速也是做法，有时你只是想直接在SQL语句中插入一个不改变的字符串。比如，像ORDER BY，你可以这样来使用：

我给你一套Ja入门学习方法，希望能够帮到你！学习内容：阶段：ja专业基础课程阶段目标：

1、熟练掌握ja的开发环境与编程核心知识；

2、熟练运用ja面向对象知识进行程序开发；

3、对ja的核心对象和组件有深入理解；

4、熟练运用jaAPI相关知识；

5、熟练应用ja多线程技术；

6、能综合运用所学知识完成一个项目。

知识点：

1、基本数据类型，运算符，数组，掌握基本数据类型转换，运算符，流程控制；

2、数组，排序算法，ja常用API，类和对象，了解类与对象，熟悉常用API；

3、面向对象特征，框架，熟悉面向对象三大特征，熟练使用框架；

4、IO流，多线程；

5、网络协议，线程运用。

第二阶段：jaWEB核心课程阶段目标：

1、熟练掌握数据库和MySQL核心技术；

2、深入理解JDBC与DAO数据库作；

3、熟练运用JSP及Servlet技术完成网站后台开发；

4、深入理解缓存、连继池、注解、反射、泛型等知识；

5、能够运用所学知识完成自定义框架。

知识点：

1、数据库知识，范式，MySQL配置，命令，建库建表，数据的增删改查，约束，视图，存储过程，函数，触发器，事务，游标，建模工具。

2、深入理解数据库管理系统通用知识及MySQL数据库的使用与管理。为Ja后台开发打下坚实基础。Web页面元素，布局，CSS样式，盒模型，JaScript，jQuery。

3、掌握前端开发技术，掌握jQuery。

4、Servlet，EL表达式，会话跟踪技术，过滤器，FreeMarker。

5、掌握Servlet相关技术，利用Servlet，JSP相关应用技术和DAO完成B/S架构下的应用开发。

6、泛型，反射，注解。

7、掌握JAVA高级应用，利用泛型，注解，枚举完成自己的CRUD框架开发为后续框架学习做铺垫。

8、单点登录，支付功能，项目整合，分页封装熟练运用JSP及Servlet核心知识完成项目实战。

第三阶段：JaEE框架课程阶段目标：

1. 熟练运用Linux作系统常见命令及完成环境部署和Nginx的配置

2. 熟练运用JaEE三大核心框架：Spring,SpringMVC,MyBatis

3. 熟练运用Men,并使用SpringBoot进行快速框架搭建

4. 深入理解框架的实现原理，Ja底层技术，企业级应用等

5. 使用Shiro,Ztree和Spring,SpringMVC,Mybaits完成企业项目

知识点：

1、Linux安装配置，文件目录作，VI命令，管理，用户与权限，环境部署，Struts2概述，hiberante概述。

2、Linux作为一个主流的作系统，是每一个开发工程师必须掌握的重点技术，并且能够熟练运用。

3、SSH的整合,MyBatis,SpringMVC,Men的使用。

4、了解AOP原理，了解原理，掌握MyBatis框架，掌握SSM框架的整合。

5、Shiro,Ztree，项目文档，项目规范，需求分析，原型图设计，数据库设计，工程构建，需求评审，配置管理，BUG修复，项目管理等。

6、自主完成一个中小型的企业级综合项目的设计和整体架构的原型和建模。自主完成一个大型的企业级综合项目，并具备商业价值。

第四阶段：分布式与微服务课程阶段目标：

1.掌握前端框架VUE及Bootstrap的应用开发

2.基于SpringCloud完成微服务架构项目的开发

3.掌握NoSQL数据库Redis的使用

4.掌握消息队列RabbitMQ的使用

5.掌握Mycat数据库中间件的使用

知识点：

2、掌握Bootstrap前端框架开发、掌握VUE前端框架开发、掌握RabbitMQ消息队列的应用、掌握SpringBoot集成RabbitMQ。

3、Redis缓存数据库的应用、Ja基于Redis的应用开发、基于SpringCloud微服务架构开发实战。

4、掌握NOSQL数据库Redis的安装、使用，Redis客户端的安装使用，Ja访问作Redis数据库，Redis的持久化方案、主从、高可用。

5、掌握SpringCloud微服务架构的开发，注册中心，配置，配置中心，微服务间通信及容器化部署。

6、项目文档，项目规范，需求分析，数据库设计，工程构建，需求评审，配置管理，BUG修复，项目管理等。

7、掌握数据库中间件Mycat的应用，基于Mycat实现数据读写分离，高可用集群。

8、掌握项目开发的流程，按照项目开发流程完成基于微服务架构项目的需求分析，编码开发。

2020ja学习路线图：

以上内容配套教程请移至B站，搜索尚学堂，免费教程随你挑！

可以的。基础到框架 然后数据库 jsp这些就不多了。

只要你肯认真学习，要努力，千万不要半途而废，就可以学好。

如何将4字节utf-8的emoji表情转换为unicode字符编码

但是不妨碍我在2012年实习中，就拿到了13K的月薪，比一些正式员工可能还要高。

整理 MySQL 8.0 文档时发现一个变更：

user

默认字符集由 latin1 变为 utf8mb4。想起以前整理过字符集转换文档，升级到 MySQL 8.0 后大概率会有字符集转换的需求，在此正好分享一下。

当时的需求背景是：

部分系统使用的字符集是 utf8，但 utf8 最多只能存 3 字节长度的字符，不能存放 4 字节的生僻字或者表情符号，因此打算迁移到 utf8mb4。

迁移方案一1. 准备新的数据库实例，修改以下参数：[mysqld]## Character Settingsinit_connect='SET NAMES utf8mb4'#连接建立时执行设置的语句，对super权限用户无效character-set-server = utf8mb4collation-server = utf8mb4_general_ci#设置服务端校验规则，如果字符串需要区分大小写，设置为utf8mb4_binskip-character-set-client-handshake#忽略应用连接自己设置的字符编码，保持与全局设置一致## Innodb Settingsinnodb_file_format = Barracudainnodb_file_format_max = Barracudainnodb_file_per_table = 1innodb_large_prefix = ON#允许索引的字节数为3072（不开启则为767字节，对于类似varchar(255)字段的索引会有问题，因为2554大于767）

2. 停止应用，观察，确认不再有数据写入

可通过 show status 观察 GTID 或者 binlog ition，没有变化则没有写入。

3. 导出数据

先导出表结构：mysqldump -u -p --no-data --default-character-set=utf8mb4 --single-transaction --set-gtid-purged=OFF --databases testdb > /backup/testdb.sql

后导出数据：mysqldump -u -p --no-create- ---data=2 --flush-logs --routines --nts --triggers --default-character-set=utf8mb4 --single-transaction --set-gtid-purged=OFF --database testdb > /backup/testdata.sql

4. 修改建表语句

修改导出的表结构文件，将表、列定义中的 utf8 改为 utf8mb4

5. 导入数据

先导入表结构：mysql -u -p testdb < /backup/testdb.sql

后导入数据：mysql -u -p testdb < /backup/testdata.sql

6. 建用户

查出旧环境的数据库用户，在新数据库中创建

7. 修改新数据库端口，启动应用进行测试

关闭旧数据库，修改新数据库端口重启，启动应用

由于utf8_unicode_ci与utf8mb4_unicode_ci都是使用UTF-8编码，所以对于JAVA，使用MyBatis生成的代码是一样的，都是使用String类型。这点已经实测过。加上这两种collations在BMP中的编码完全一致，所以使用3字节与4字节的系统，对于BMP中的字符都是完全兼容、正常显示的。而对于3字节的系统，4字节的字符一般会显示成一个方框，或者在一个方框中有几个小数字，不会引发系统异常。

mybatis中的$和#的区别？

password=111111

#相当于对数据 加上 双引号，$相当于直ja里面的函数_ja【1】——— 从接口框架说起接显示数据

#将传入的数据都当成一个字符串，会对自动传入的数据加一个双引号。如：order by #user_id#，如果传入的值是111,那么解析成sql时的值为order by "111", 如果传入的值是id，则解析成的sql为order by "id".

$将传入的数据直接显示生成在sql中。如：order by $user_id$，如果传入的值是111,那么解析成sql时的值为order by user_id, 如果传入的值是id，则解析成的sql为order by id.

3. #方式能够很大程度防止sql注入。

4.$方式无法防止Sql注入。

6.一般能用#的就别用$.

Ja学习都学什么内容？

MyBatis排序时使用order by 动态参数时需要注意，用$而不是#

一般分为四个学习阶段，

阶段：小型桌面应用开发

阶段目的：掌握JAVA语言的语法，理解面向对象的编程思想，能够熟练使用JAVA语言开发小型桌面应用。

基础技能训练：作系统与网络技术、JAVA面向功能对象程序设计、JAVA核心编程、JAVA网络编程

阶段目的：掌握数据库设计与开发技能，熟练使用JAVAEE组件技术开发中小型网站应用。

数据库（Oracle数据库管理及开发）、UI开发（WEB页面开发基础、XML、Ajax）、JAVAEE组件开发（jsp、servlet、jdbc）、框架技术（struts2.0、hibernate、spring、springMVC、mybatis）

第三阶段：软件工程工业实践

阶段目的：熟悉软件工程流程及规范，使用以前三个阶段所学的技能，进行软件工程工业实践。

软件工程方、软件工程项目实践

第四阶段：职业素质培养及就业

阶段目的：提高团队协作能力、职业道德、沟通能力和面试技巧，成功面试，成为标准IT职业人。

职业素质培养(职业道德、项目座谈、面试技能）、就业。

Ja学习内容List list=new ArrayList();

第1阶段Ja核心技术

第2阶段数据库关键技术

第3阶段Web开发与实战应用

第4阶段经典&流行框架

第5阶段Ja高级&前沿技术

第6阶段企业接轨项目以在线教育项目为例

第7阶段大数据技术

Ja都学什么

1、 Ja语法。

通过任何一本Ja入门书籍，都可以学会Ja的基本语法。千万不要认为，你把书上的例子程序都能写出来就算学会了Ja语法。要想真正掌握，还需要做大量的测试题。对语法不准确的理解，会使你写的代码出现逻辑错误。而这些错误会使你在真正的项目开发中吃尽苦头：你认为正确才会写上去。而在几十万行代码中找出几行有逻辑错误的代码，非常困难。因为你几乎不会怀疑你认为正确的代码存在错误。

2、 常用类。

永远不要写别人已经实现的代码。有很多功能，用JDK中现有的类就可以完成。你需要熟悉JDK.可以通过研究JDK帮助文档和JDK源代码的方式，逐渐了解，你需要的类都在什么地方。

一方面，要熟悉有哪些可以直接使用的资源;

另一方面，学习一下，SUN公司的工程师怎样写代码。

mybatis中#和$的区别

默认情况下，使用#{}格式的语导致MyBatis创建预处理语句属性并以它为背景设置安全的值（比如?）。这样做很安全，很迅速也是做法，有时只是想直接在SQL语句中插入一个不改变的字符串。比如，像ORDER BY，可以这样来使用：

1. #将传入的数据都当成一个字符串，会对自动传入的数据加一个双引号。如：order by #user_id#，如果传入的值是111,那么解析成sql时的值为order by "111", 如果传入的值是id，则解析成的sql为order by "id".

2. $将传入的数据直接显示生成在sql中。如：order by $user_id$，如果传入的值是111,那么解析成sql时的值为order by user_id, 如果传入的值是id，则解析成的sql为order by id.

3. #方式能够很大程度防止sql注入。

41、Bootstrap前端框架、VUE前端框架、RabbitMQ消息队列。.$方式无法防止Sql注入。

6.一般能用#的就别用$.

字符串替换

这里MyBatis不会修改或转义字符串。

mybatis本身的说明：

?1

23

45

String Substitution

By default, using the #{} syntax will cause MyBatis to generate PreparedStatement properties and set the values safely against the PreparedStatement parameters (e.g. ?). While this is safer, faster and almost always preferred, sometimes you just want to directly inject a string unmodified into the SQL Statement. For example, for ORDER BY, you might use soming like this:

Here MyBatis won't modify or escape the string.

NOTE It's not safe to accept input from a user and supply it to a statement unmodified in this way. This leads to potential SQL Injection attacks and therefore you should either disallow user input in these fields, or always perform your own escapes and checks.

从上文可以看出：

1. 使用#{}格式的语法在mybatis中使用Preparement语句来安全的设置值，执行sql类似下面的：

?1

2PreparedStatement ps = conn.prepareStatement(sql);

ps.setInt(1,id);

这样做的好处是：更安全，更迅速，通常也是做法。

2. 不过有时你只是想直接在 SQL 语句中插入一个不改变的字符串。比如，像 ORDER BY，你可以这样来使用：

?1

此时MyBatis 不会修改或转义字符串。

这种方式类似于：

?1

2Statement st = conn.createStatement();

ResultSet rs = st.executeQuery(sql);

这种方式的缺点是：

以这种方式接受从用户输出的内容并提供给语句中不变的字符串是不安全的，会导致潜在的 SQL 注入攻击，因此要么不允许用户输入这些字段，要么自行转义并检验。

Windows开发软件，用什么软件开发，用什么语言开发？

boolean equals(Object o)

Windows开发软件，用什么软件开发，用什么语言开发。

windows系统下的软件，常见的编程语言VB、VC、C++、C#都可以，软件的话使用微软的viboolean offer(E e); //插入一个元素到队列，失败时返回falsesual studio工具就可以了。

软件技术工程师

随着移动互联网的普及与发展，手机应用不断深入我们生活的方方面面，移动系统和软件应用的开发领域，成为了未来具有潜力的行业之一，合格的软件人才在任何企业都具有不可替代的竞争优势 。

选择江西新华电脑学院软件技术工程师专业，你将学习：

网络安全基础、Dreamweer网页设计、Photoshop网页效果图制作、Window 2008服务、器作系统和活动目录、C语言、SQL 2005数据库、设计和高级查询、HTML5+CSS3、JaScript、jQuery高级编程、页设计PHP+MYSQL、Linux作系统、数据结构软件工程、JAVA面向对象程序设计、oracle数据库、J2EE端高级编程、手机APP视觉设计、APP应用程序开发等。

VB 6.0面相对象的开发语言

一般软件开发都是需要一定的编程基础的。。

mybatis中的#和$的区别

spliterator.forEachRemaining(->System.out.print(+" "));

首先通过下面两条sql及打印的执行sql，清楚明了的看一下它们的区别：

select

from

wher【作者】：e

userId=${id}

password=#{pwd}

12345678

设入参传入的是1，打印执行sql如下：

Preparing:select

from

where

id=1

and

select

from

where

userId=#{id}

and

password=#{pwd}

12345678

同样入参传入1，打印的执行sql如下：

Preparing:select

from

where

id=？

and

password=?

Parameters:1(String),111111(String)

MyBatis启用了预编译功能，在SQL执行前，会先将上面的SQL发送给数据库进行编译；执行时，如果入参为#{}格式的，将入参替换编译好的sql中的占位符“?”；如果入参格式为${}，则直接使用编译好的SQL就可以了。因为SQL注入只能对编译过程起作用，所以使用#{}入参的方式可以很好地避免了SQL注入的问题。

mybatis预编译底层实现原理

MyBatis是如何做到SQL预编译的呢？其实在框架底层，是JDBC中的PreparedStatement类在起作用，PreparedStatement是我们很熟悉的Statement的子类，它的对象包含了编译好的SQL语句。这种“准备好”的方式不仅能提高安全性，而且在多次执行同一个SQL时，能够提高效率。原因是SQL已编译好，再次执行时无需再编译。

总结

#{}：相当于JDBC中的PreparedStatement

${}：是输出变量的值

简单说，#{}是经过预编译的，是安全的；${}是未经过预编译的，仅仅是取变量的值，是非安全的，存在SQL注入。

番外（sql注入）

还是以上面的两条sql为例，入参id的值传入“1

or

userId=2”,入参pwd的值传入“111111”。以#{}格式传入入参后的执行sql：

select

from

where

userId=”1

or

userId=2”

and

password

=“111111”;

以${}格式传入入参后的执行sql：

select

from

where

userId=1

or

userId=2

and

password

=111111;

很显然，以${}格式传入入参后的执行sql打乱了我们的预期sql格式及查询条件，从而实现sql注入。所以，除了order

by

等需要传入数据库字段等的入参使用${},其他的尽量使用#{}。

mybatis中 和$的区别

int hashCode(); //计算获取hash值

#相当于对数据 加上 双引号，$相当于直接显示数据

1. #将传入的数据都当成一个字符串，会对自动传入的数据加一个双引号。如：order by #user_id#，如果传入的值是111,那么解析成sql时的值为order by "111", 如果传入的值是id，则解析成的sql为order by "id".

2. $将传入的数据直接显示生成在sql中。如：order by $user_id$，如果传入的值是111,那么解析成sql时的值为order by user_id, 如果传入的值是id，则解析成的sql为order by id.

3. #方式能够很大程度防止sql注入。5.$方式一般用于传入数据库对象，例如传入表名.

4.$方式无法防止Sql注入。

6.一般能用#的就别用$.

字符串替换

这里MyBatis不会修改或转义字符串。