在做项目,写mybatis的mapper.xml时我们会用到#{},${}。
区别:
#{}叫预编译处理,mybatis在处理#{}时,会将sql中的#{}替换为?号,调用PreparedStatement的set方法来赋值;传进来的数据会加个" "(#将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号),有效防止sql注入。${}就是字符串替换,字符串拼接参数。直接替换掉占位符。$方式一般用于传入数据库对象,例如传入表名.
关于sql注入:
什么是 SQL 注入呢?比如 select * from user where id = ${value}
value 应该是一个int吧。然后如果对方传过来的是 11 and name = han。这样不就相当于多加了一个条件嘛?把SQL语句直接写进来了。如果是攻击性的语句呢?11;drop table user,直接把表给删了,这下就删库跑路了,所以尽量用#{}