实际上在mybatis中,有两种取值方式:
#{属性名 } :是参数预编译的方式,参数的位置都是用?替代,参数都是后来预编译后设置进去的。不会有SQL注入的问题,更安全
下图的解释: SQL语句写成这样,前面是# 后面是$ 时,在console中运行的结果是第二行,注意观察
${属性名 } :不是参数预编译,而是直接和SQL语句进行拼串;不安全
$的使用场景是什么呢?
在查询表是一个参数的时候,使用#{},会有语法错误,如下图
当改成${}时,成功运行
总结: 一般都是使用#{},因为安全,没有SQL注入 在不支持参数预编译的位置要进行取值就使用${}
面试问题:
答:
#{}参数预编译(编译经常需要写注释,用的是#)
${}:直接和SQL语句拼串(拼串,注意观察这个符号,是一根线串起来了的,就是和SQL拼串)