【转】mybatis中#与$的区别

使用#{parameterName}引用参数的时候,Mybatis会把这个参数认为是一个字符串,并自动加上'',例如传入参数是“Smith”,那么在下面SQL中:

Select * from emp where name = #{employeeName}

使用的时候就会转换为:

Select * from emp where name = 'Smith'; 

同时使用${parameterName}的时候在下面SQL中

Select * from emp where name = ${employeeName}

就会直接转换为:

Select * from emp where name = Smith

简单说#{}是经过预编译的,是安全的

${}是未经过预编译的,仅仅是取变量的值,是非安全的,存在SQL注入的风险

 

 

参考链接:https://www.cnblogs.com/PoetryAndYou/p/11622334.html

posted @ 2021-11-29 16:04  add_oil  阅读(106)  评论(0编辑  收藏  举报