Mybatis中#{}和${}的区别

上图来自于MyBatis官方文档截图,自己得到了如下结论,如有不对的地方,欢迎指正:

  1. #{}相当于使用了原生jdbc的PrepareStatement对象进行预编译处理,更安全(不存在SQL注入问题),更快;${}相当于使用原生jdbc的Statement对象直接编译处理,存在安全隐患(SQL注入问题)。
  2. 在order by与like语句中,只能使用${},使用#{}会使SQL失效。例如:${age}对应于select * from t_user order by age(语法正确); #{age}对应于select * from t_user order by ‘age’(age有单引号,语法错误)。此时,${}还是可能会出现SQL注入问题,但可以通过判断输入参数的长度(SQL注入时,参数较长),输入的参数是否在预定集合中来进行过滤。
  3. 除了第二条中的order by,like语句,其他情况下,多用#{}。
posted @ 2018-04-15 23:28  Chris_Lee  阅读(134)  评论(0编辑  收藏  举报