此问题从两方面入手:
一、#{}是预编译处理,${}是字符串替换
MyBatis在调用#{}时,会将SQL中的#{}替换为?,调用PreparedStatement的set方法来赋值;
MyBatis在调用${}时,会直接把${}替换成变量的值。
使用#{}可以有效防止SQL注入,提高系统安全性。
预编译机制:预编译是提前对SQL语句进行编译,而其后注入的参数将不再进行编译。我们知道,SQL注入是发生在编译的过程中,因为恶意注入了某些特殊字符,最后被编译成了恶意的执行操作,而预编译机制可以很好地防止SQL注入。
二、#{}传参解析时会添加'',${}传参解析时不会添加''
在SQL语句中,我们传参时大部分情况用的都是#{},因为我们大部分情况传的都是变量值:
<select id="selectByPrimaryKey" parameterType="java.lang.String" resultMap="BaseResultMap">
select * from T_TEAM_ORG where SEQ_ID = #{seqId,jdbcType=VARCHAR}
</select>
这时候如果我们在serviceImpl中定义String seqId = "123"; 那么程序运行的时候sql是
select * from T_TEAM_ORG where SEQ_ID = '123',
我们会发现这样传入参数值非常方便。那么什么时候用${}?
使用${}的场景:传入的是表名、属性名等,不能加'',如:
<select id="selectByPrimaryKey" parameterType="java.lang.String" resultMap="BaseResultMap">
select * from T_TEAM_ORG where ${columnName} = '123'
</select>
转载于:https://www.cnblogs.com/yuanfei1110111/p/10370461.html