Mybatis中的 # 和 $ 的区别

欢迎光临我的博客[http://poetize.cn],前端使用Vue2,聊天室使用Vue3,后台使用Spring Boot

区别

#{parameterName}引用参数的时候,Mybatis会把这个参数认为是一个字符串,并自动加上''
sql 预编译指的是数据库驱动在发送 sql 语句和参数给 DBMS 之前对 sql 语句进行编译,这样 DBMS 执行 sql 时,就不需要重新编译。


Select * from emp where name = #{employeeName}

Select * from emp where name = 'Smith'; 


Select * from emp where name = ${employeeName}

Select * from emp where name = Smith;


#{}是经过预编译的,是安全的。

${}是未经过预编译的,仅仅是取变量的值,是非安全的,存在SQL注入。

用法

能使用 #{} 的地方就用 #{}

表名作为变量时,必须使用 ${}
posted @ 2019-09-24 20:29  LittleDonkey  阅读(186)  评论(0编辑  收藏  举报