#{}:1.传入的参数在SQL中显示为字符串。2.方式能够很大程度防止sql注入
${}:1.传入的参数在sql中直接显示为传入的值。2.方式无法防止Sql注入。
${} 必须要使用的场景:比如做一些底层开发关于连接数据库的,你需要查询锁定哪张表
select * from ${t_table};
1、使用#{}
Mybatis在对#{}进行预处理时,会把#{}处理成占位符,实际执行的时候才会把参数替换进去,相当于jdbc的PreparedStatement。
- <select id="select" parameterType="java.lang.String" resultType="baseMap">
- select * from user where name = #{name}
- </select>
上面这个配置实际打印出来的sql为
select * from user where name = ?
这就告诉 MyBatis 创建一个预处理语句(PreparedStatement)参数,在 JDBC 中,这样的一个参数在 SQL 中会由一个“?”来标识,并被传递到一个新的预处理语句中,就像这样:
- // 近似的 JDBC 代码,非 MyBatis 代码...
- String selectPerson = "select * from user where name = ?";
- PreparedStatement ps = conn.prepareStatement(selectPerson);
- ps.setString(1,name);
这样有效的预防了sql注入。
2、使用${}
- <select id="select" parameterType="java.lang.String" resultType="baseMap">
- select * from user where name=${name}
- </select>
上面这个配置实际打印出来的sql为
select * from user where name = name
- // 近似的 JDBC 代码,非 MyBatis 代码...
- String selectPerson = "SELECT * FROM PERSON WHERE ID=?";
- PreparedStatement ps = conn.prepareStatement(selectPerson);
- ps.setInt(1,id);
${} 则只是简单的字符串替换,在动态解析阶段,该 sql 语句会直接将变量值替换进去,这样就有可能会发生sql注入的风险。
1、#{}是一个占位符,${}只是普通传值
2、#{}在使用时,会根据传递进来的值来选择是否加上双引号,因此我们传递参数时一般都是直接传递,不用加双引号;${}则不会,我们需要手动加
3、在传递一个参数时,我们在#{}中可以写任意值
4、#{}针对SQL注入进行了字符过滤,${}则只是作为普通传值,并没有考虑到这些问题
5、#{}的应用场景是为给SQL语句的where字句传递条件;${}的应用场景是为了传递一些需要参与SQL语句语法生成的值