Mybatis中$和#取数据的区别

Mybatis配置中，取出map入参的数据一般有两种方式#{key}和${key}，下面是这两种取值的区别：

　　以同样的语句做对比：

<select id="geUserByParam1" resultType="Map" parameterType="Map">
        select * from t_user t where t.name=#{name} and t.password=#{password}
</select>

<select id="geUserByParam2" resultType="Map" parameterType="Map">
        select * from t_user t where t.name=${name} and t.password=${password}
</select>

　　如果传入的name和password参数分别是：admin和123456。

用#{key}取值后执行的sql是select * from t_user t where t.name='admin' and t.password='123456'

用${key}取值后执行的sql是select * from t_user t where t.name=admin and t.password=123456

很明显，#{key}取值会自动将值看成是字符串类型，并带上单引号；而${key}取值就是传的值是啥就是啥。由此可见#{key}取值可以防止sql注入，而${key}取值可能会引起sql注入情况。有的时候用模糊查询可能会用到${key}取值，比如：

 

<select id="geUserByParam3" resultType="Map" parameterType="Map">
        select * from t_user t where t.name like '%${name}%'
</select>

 

其实这种情况也可以用#{key}来代替的：

<select id="geUserByParam3" resultType="Map" parameterType="Map">
        select * from t_user t where t.name like concat('%',#{name},'%')
</select>

因此建议尽量在开发中用#{key}取值，这样确实可以避免一些问题！

 

注意：本文仅代表个人理解和看法哟！和本人所在公司和团体无任何关系！