#{}
是占位符,即sql 预编译处理,会将sql中的#{}替换为?号,调用PrepareStatement来赋值, 对应的变量自动加上单引号。${}
是拼接符,即sql拼接,会将sql中的${}替换为变量的值,调用Statement来赋值,对应的变量不会加上单引号。#{}
能有效防止sql 注入,提高系统安全性。
项目操作
-- 变量值定义
userName= 'wukong'
password = "1 or 1=1"
select * from sys_user where user_name = #{userName} and password = #{password}
mybatis 处理成
select * from sys_user where user_name = 'wukong' and password = '1 or 1=1' ;
select * from sys_user where user_name = ${userName} and password = ${password}
mybatis 处理成
select * from sys_user where user_name = wukong and password = 1 or 1=1 ;
什么时候使用${}
我讲一个我们项目涉及到的一个案列。
需求是对某一个指标维度做页面展示,指标维度数据10分钟更新一次,但指标维度的数据涉及多张表,且每张表都是删除数据再插入,会导致短暂的空白异常。
经过商讨通过A、B表的解决方案(每个表都建两张表 ,比如表user,我们建user_A与user_B),再建一张映射表,里面存user->user_A或者user_B A与B存在一条且互斥。
然后查询出user对应的表 user_A 通过#注入sql
select * from ${user}
mybatis 处理成
select * from user_A;
更详细讲解看视频教程https://www.bilibili.com/video/BV1hU4y127Xv/