在MyBatis中,`$`符号和`#`符号是用于参数替换的两种不同的方式。
- `$`符号适合用于拼接普通的SQL字符串
- `#`符号适合用于参数传递,并提供了更好的安全性
1. `$`符号:
使用`$`符号时,MyBatis会将`${}`内的内容直接替换为参数的值,生成最终的SQL语句。这种方式被称为字符串拼接。例如:
<select id="getUserById" resultType="User">
SELECT * FROM user WHERE id = ${userId}
</select>
在上述例子中,`${userId}`将会直接被替换为具体的参数值,生成的SQL语句可能是:
SELECT * FROM user WHERE id = 123
使用`$`符号可以方便地进行动态SQL拼接,但也存在一些潜在的风险,比如可能导致SQL注入攻击。
2. `#`符号
使用`#`符号时,MyBatis会将`#{}`内的内容当作一个占位符,并在生成最终的SQL语句时,将占位符替换为参数的值。这种方式被称为预编译。例如:
<select id="getUserById" resultType="User">
SELECT * FROM user WHERE id = #{userId}
</select>
在上述例子中,`#{userId}`将被当作一个占位符,在实际执行SQL语句前,MyBatis会使用预编译的方式将占位符替换为具体的参数值,生成的SQL语句可能是:
SELECT * FROM user WHERE id = ?
使用`#`符号可以有效防止SQL注入攻击,因为参数值会被自动进行参数绑定和转义处理。