- #将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。
如:
如果传入的值是 小明 ,那么解析成sql时的值为 where student_name = "小明"select id, <!-- 主键 --> student_name <!-- 学生名称 --> from t_student where student_name = #{studentName}
- $将传入的数据直接显示生成在sql中, ${}并不会将里面的数据转成字符串 。
二者的用法与区别
默认情况下,使用 #{ } 格式的语法会导致 MyBatis 创建预处理语句属性并以它为背景设置安全的值(比如 ?)。
#{}格式的sql能够预编译,能在内存中保存sql语法,不用重新组装sql语法。
这样做很安全,很迅速,尽量首选使用#{ } !
但,有时你只是想直接在SQL语句中插入一个不改变的字符串。比如,像 ORDER BY , 你可以这样来使用:
select
*
from ${tableName} ORDER BY ${columnName}
这里 MyBatis 不会修改或转义字符串。
如果sql语句中使用动态的表或者列,请使用$符号!
PS:
接受从用户输出的内容并提供给语句中不变的字符串,这样做是不安全的。这会导致潜在的SQL注入攻击。
因此你不应该允许用户输入这些字段,或者通常自行转义并检查。