背景
动态 sql 是 mybatis 的主要特性之一,在 mapper 中定义的参数传到 xml 中之后,在查询之前 mybatis 会对其进行动态解析。mybatis 为我们提供了两种支持动态 sql 的语法:#{} 以及 ${} 。
主要区别
#相当于对数据加上双引号
$相当于直接显示数据。
#{} : 根据参数的类型进行处理,比如传入String类型,则会为参数加上双引号。#{} 传参在进行SQL预编译时,会把参数部分用一个占位符 ? 代替,这样可以防止 SQL注入。
${} : 将参数取出不做任何处理,直接放入语句中,就是简单的字符串替换,并且该参数会参加SQL的预编译,需要手动过滤参数防止 SQL注入。
因此
mybatis中优先使用 #{};当需要动态传入 表名或列名时,再考虑使用 ${} , 比较特殊,他的应用场景是需要动态传入表名或列名时使用,MyBatis排序时使用orderby动态参数时需要注意,用 {} 比较特殊, 他的应用场景是 需要动态传入 表名或列名时使用,MyBatis排序时使用order by 动态参数时需要注意,用比较特殊,他的应用场景是需要动态传入表名或列名时使用,MyBatis排序时使用orderby动态参数时需要注意,用而不是#。
示例
#对传入的参数视为字符串,也就是它会预编译,$不会将传入的值进行预编译.
select from user where user_name=${rookie},比如我传一个rookie,那么传过来就是 select from user where user_name = ‘rookie’;select from user where user_name= ${rookie} ,那么传过来的sql就是:select from user where user_name=rookie;
#优势在于它能很大程度防止sql注入,$ 不行。
比如:用户进行一个登录操作,后台sql验证式样的:select from user where user_name=#{name} and password = #{pwd},如果前台传来的用户名是“rookie”,密码是 “1 or 2”,用#的方式就不会出现sql注入,换成用$ 方式,sql语句就变成了 select from user where user_name=rookie and password = 1 or 2。这样的话就形成了sql注入。