默认情况下,使用#{}语法,但是在order by 、表名、列名时不能用#{},因为它会自动加上 引号,这时可以用${},但是要防止注入。
MyBatis会产生PreparedStatement语句中,并且安全的设置PreparedStatement参数,这个过程中MyBatis会进行必要的安全检查和转义。
#相当于对数据加上双引号(占位),它有个预编译的过程,条件对象是什么类型,接收的就是什么类型的数据;
传入基本数据类型时,可以用#{任意对象名}获取,传入pojo时用属性名获取对应属性;
相
当
于
直
接
显
示
数
据
(
拼
接
)
,
传
入
什
么
就
是
什
么
,
这
样
容
易
受
到
注
入
攻
击
,
比
如
加
入
w
h
e
r
e
n
a
m
e
=
‘
a
’
o
r
1
=
1
条
件
;
传
入
基
本
数
据
类
型
时
,
只
能
用
相当于直接显示数据(拼接),传入什么就是什么,这样容易受到注入攻击,比如加入where name = ‘a’ or 1=1 条件; 传入基本数据类型时,只能用
相当于直接显示数据(拼接),传入什么就是什么,这样容易受到注入攻击,比如加入wherename=‘a’or1=1条件;传入基本数据类型时,只能用{value}获取,传入pojo时用属性名获取对应属性。