ibatis实战之使用内联参数--用$做占位符

ibatis实战之使用内联参数--用$做占位符

----------

 

 

使用内联参数的另一种方式就是使用替代($)语法，它可以用来把值直接插入到SQL语句之中(在SQL语句被转变为参数化语句之前)。但是使用这种方式时要非常小心，因为它可能使你暴露给SQL注入，另外过度使用还可能造成性能问题。

以下是一种在ibatis中处理LIKE运算符的方法示例：

 

<select id="getByLikeCity" resultClass="Account">
	select accountId,
		username,
		password,
		firstName,
		lastName,
		address1,
		address2,
		city,
		state,
		postalCode,
		country
	from Account
	where city like '%$value$%'
</select>

 以上这个语句同前一个语句的区别在于：ibatis如何处理传递给语句的参数。该语句的调用方式和之前那个语句的调用方式完全一致的：

 

accountList = sqlMap.queryForList("Account.getByLikeCity","burg");

这次，ibatis把语句转化为如下形式：

select accountId,
	username,
	password,
	firstName,
	lastName,
	address1,
	address2,
	city,
	state,
	postalCode,
	country
from Account
where city like '%bury%'

此语句中并没有设置任何参数，因为这个语句已经是完整的，但是使用这种技术时需要牢记的一点就是：它使得你的应用程序更容易受到SQL注入的攻击。