浅谈mybatis中#{}和${}的区别

 

#{}:表示占位符,如果获取简单类型,#{}中可以使用value或其它名称。有效防止sql注入。使用#{}设置参数无需考虑参数的类型。

如果使用#{}比较日期字段,select* from tablename where birthday >=#{birthday}

 

${}:表示sql拼接,如果获取简单类型,#{}中只能使用value 。无法防止sql注入。使用${}设置参数必须考虑参数的类型,比如:使用oracle查询条件是日期类型,如果使用${},必须人为将${}两边加单引号通过to_date转日期。

Select * fromtable where birthday >=to_date(‘${birthday}’,’yyyy-MM-dd’)

 

 

在没有特殊要求的情况下,建议使用#{}占位符

有些情况必须使用${},

比如:需要动态拼接表名,Select *from ${tablename}

动态拼接排序字段:select *from tablename order by ${username} desc

 

 

 

 

 

 

posted @ 2017-09-18 00:39  yaochunguang  阅读(146)  评论(0编辑  收藏  举报