#{}
1. #{}实现的是想prepareStatement中的预处理语句中设计参数值,sql语句中#{}表示一个占位符即?。
2. 使用占位符#{}可以有效的防止sql注入,在使用时不需要关心参数值的类型,MyBatis会自动进行java类型和jdbc类型的转换。
3. #{}可以接收简单类型值或pojo属性值,如果parameterType传输单个简单类型值,#{}括号中可以是value或是其他名称
${}
- 通过${}可以将parameterType传入的内容拼接在sql中且不进行jdbc类型转换
- 可 以 接 收 简 单 型 值 或 p o j o 属 性 值 , 如 果 p a r a m e t e r T y p e 传 输 单 个 简 单 类 型 值 , {}可以接收简单型值或pojo属性值,如果parameterType传输单个简单类型值, 可以接收简单型值或pojo属性值,如果parameterType传输单个简单类型值,{}括号中只能是value。
- 使用${}不能防止sql注入