很久之前就知道这两者有一定区别,#{}用于占位,${}用于字符串拼接。今天遇到的问题却遗忘了这个特性,在做一张表channel_log_res_${suffix}的xml文件时,suffix代表应用名,此时错误的用上了#,导致表名没有拼接完整,特此记录一番这两者几个比较重要的区别。
MyBatis 中 #{} 和 ${} 的区别
1、在MyBatis 的映射配置文件中,动态传递参数有两种方式:
(1)#{} 占位符
(2)${} 拼接符
2、#{} 和 ${} 的区别
(1)
1)#{} 为参数占位符 ?,即sql 预编译
2)${} 为字符串替换,即 sql 拼接
(2)
1)#{}:动态解析 -> 预编译 -> 执行
2)${}:动态解析 -> 编译 -> 执行
(3)
1)变量替换后,#{} 对应的变量自动加上单引号 ''
2)变量替换后,${} 对应的变量不会加上单引号 ''
(4)
1)#{} 能防止sql 注入
2)${} 不能防止sql 注入
5、#{} 和 ${} 在使用中的技巧和建议
(1)不论是单个参数,还是多个参数,一律都建议使用注解@Param("")
(2)能用 #{} 的地方就用 #{},不用或少用 ${}
(3)表名作参数时,必须用 ${}。如:select * from ${tableName}
(4)order by 时,必须用 ${}。如:select * from t_user order by ${columnName}
(5)使用 ${} 时,要注意何时加或不加单引号,即 ${} 和 '${}'