mybatis中取参数之#{}和${}的区别
1、#{属性名}
#{属性名}:是预编译的方式,参数的位置是用?代替,参数都是后来预编译后来设置进去的;安全,不会有sql注入问题。
默认情况下,使用 #{} 参数语法时,MyBatis 会创建 PreparedStatement 参数占位符,并通过占位符安全地设置参数(就像使用 ? 一样)。 这样做更安全,更迅速,通常也是首选做法,不过有时你就是想直接在 SQL 语句中直接插入一个不转义的字符串。 比如 ORDER BY 子句,这时候你可以:
ORDER BY ${columnName}
select * from t_employee where id =#{id} and empname=#{empName }
--在底层是执行这个sql语句
Preparing: select * from t_employee where id =? and empname=?
2、${属性名}
${属性名}:不是参数预编译,而是直接和sql语句进行拼串;不安全
select * from t_employee where id =#{id} and empname=#{empName }
Preparing: select * from t_employee where id =? and empname=?
当传入的id='1 or 1=1 or’就会出现sql注入问题
但是${属性名}还是有使用场景的,sql语句只有参数位置是支持预编译的;而查询表的位置是不支持预编译的。
log_2017_12、log_2018_1;查询日志表
select * from #{} where id=? and empname=?
当使用#{参数名}对查询的表的位置进行预编译的时候会报错
而使用${属性名}就不会出现错误。