小说阅读器,择天记,完美世界国际版下载

　　mybatis 根據(jù)in條件刪除時，數(shù)據(jù)只刪除第一個的問題（字符串被截斷......）

mybatis代碼如下：

<delete id="deleteStudents" parameterType="String">
    	delete from student where id in (#{ids})
    </delete>

　　參數(shù)為(36,27,28)

　　則結(jié)果卻刪除了id為26的學(xué)生信息

　　解決方案：將代碼改為

<delete id="deleteStudents" parameterType="String">
    	delete from student where id in (${ids})
    </delete>
<!-- 或 -->
    <delete id="delsStudents" parameterType="Integer">
    	delete from student where id in
    	 <foreach item="id" index="index" collection="array"
    open="(" separator="," close=")">
       		 ${id}
   		 </foreach>
    </delete>

　　將#{} 改為${}..

　　原因就是#{}與${}的區(qū)別：

　　#{}編譯玩自動加雙引號“” 也就是變成in （“26,27”）

　　${} 編譯完是這樣的 in （26,27）也就是說你傳入的是什么就顯示什么。。。

　　1. #將傳入的數(shù)據(jù)都當(dāng)成一個字符串，會對自動傳入的數(shù)據(jù)加一個雙引號。如：order by #user_id#，如果傳入的值是111,那么解析成sql時的值為order by "111", 如果傳入的值是id，則解析成的sql為order by "id".

　　2. $將傳入的數(shù)據(jù)直接顯示生成在sql中。如：order by $user_id$，如果傳入的值是111,那么解析成sql時的值為order by user_id, 如果傳入的值是id，則解析成的sql為order by id.

　　3. #方式能夠很大程度防止sql注入。

　　4.$方式無法防止Sql注入。

　　5.$方式一般用于傳入數(shù)據(jù)庫對象，例如傳入表名.

　　6.一般能用#的就別用$.

　　MyBatis排序時使用order by 動態(tài)參數(shù)時需要注意，用$而不是#

　　字符串替換

　　默認情況下，使用#{}格式的語法會導(dǎo)致MyBatis創(chuàng)建預(yù)處理語句屬性并以它為背景設(shè)置安全的值（比如?）。這樣做很安全，很迅速也是首選做法，有時你只是想直接在SQL語句中插入一個不改變的字符串。比如，像ORDER BY，你可以這樣來使用：

　　ORDER BY ${columnName}

　　這里MyBatis不會修改或轉(zhuǎn)義字符串。

　　重要：接受從用戶輸出的內(nèi)容并提供給語句中不變的字符串，這樣做是不安全的。這會導(dǎo)致潛在的SQL注入攻擊，因此你不應(yīng)該允許用戶輸入這些字段，或者通常自行轉(zhuǎn)義并檢查。