.NET_iBatis.NET挖坑_使用$和#替换可空字段变量

背景

ibatis.net版本：1.6.2.0

问题描述

如果有个表Test，有个字段A(类型为int，可为空，默认为0)，插入数据有两种写法：

<insert id="AddTest" >
INSERT INTO Test(A) VALUES(#A#);
</insert>

<insert id="AddTest" >
INSERT INTO Test(A) VALUES($A$);
</insert>

这两者在编译后的SQL语句是不一样的。

对于

$A$

这种写法，如果A是null，编译后会将

$A$

直接删除，结果是

INSERT INTO Test(A) VALUES()

，很明显该语句运行会出错。

对于

#A#

这种写法，会根据A的不同情况选择不同的拼接方式，比如当前A的值为null，编译后的语句是

INSERT INTO Test(A) VALUES(@param0)

并且

@param0

的值是

null

总结

通常在使用ibatis时，对于传入的参数拼接到SQL语句中有两种包裹方式：#和$。这两者有比较大的差异：

$的作用是字符串拼接

对于SQL语句的变量部分禁止使用，否则会引入注入漏洞

可以用于非变量部分，比如动态变化的表名

如果$内的变量为null，ibatis会将该变量直接从SQL语句中删除

#的作用是变量替换

常用于SQL的变量赋值

不能用于表名的替换

参考资料：

ibatis中 $ 于 # 的 区别?

ibatis中 $与#的区别