#{}与${}的区别

#{}与${}的区别

#{}
　　是预编译的方式，相当于jdbc的占位符PrepareStatement，

　　一个#{}就是一个占位符

　　mybatis在为#{}设置值时，会加引号

${} 模糊查询时不用
　　直接拼接的方式，不对数值做预编译
　　mybatis在为${}设置值时，不加引号
　　存在sql注入的现象
只有在不支持占位符的时候才使用，比如需要列名的地方，同时获取传来的数据时要做校验

 

例如：

查询排序的处理
需要列名的地方，在原生jdbc开发中，不可以预编译
因为预编译会给值加上引号，需要列名的是直接进行拼接的

public List<Message> selectOrderBy(String column);
<include refid="BaseSql"/> order by #{column} desc 错误，没排序

<include refid="BaseSql"/> order by ${column} desc
mybatis对原生sql不支持占位的地方，接收参数的话，用${}
${}是一个拼接sql的方式，存在SQL注入的现象
传什么就拼什么

 

__EOF__

本文作者：龙陌
本文链接：https://www.cnblogs.com/longmo666/p/13553648.html
关于博主：评论和私信会在第一时间回复。或者直接私信我。
版权声明：本博客所有文章除特别声明外，均采用 BY-NC-SA 许可协议。转载请注明出处！
声援博主：如果您觉得文章对您有帮助，可以点击文章右下角【推荐】一下。您的鼓励是博主的最大动力！