MyBatis 是一个持久层框架,用于将 SQL 语句与 Java 对象之间进行映射。在 MyBatis 中,有三种不同的占位符用于在 SQL 语句中引用参数:
-
#{userId}:这种占位符使用预编译语句,将参数值替换为问号(?),然后通过 PreparedStatement 设置参数。这种方式可以防止 SQL 注入攻击,并可以自动处理参数类型转换和特殊字符转义等问题。
-
${userId}:这种占位符在 SQL 语句中直接替换参数值,类似于字符串的拼接。这种方式不会进行参数类型转换和特殊字符转义,所以要确保参数的安全性和正确性。
-
#userId#:这种占位符是一种过时的写法,不再被推荐使用。它是早期版本 MyBatis 的一种写法,现在已经不被支持。
总结:
- #{userId} 使用预编译语句,防止 SQL 注入攻击,并能自动处理参数类型转换和特殊字符转义等问题。
- ${userId} 在 SQL 语句中直接替换参数值,不进行参数类型转换和特殊字符转义,需要注意参数的安全性和正确性。
- #userId# 是过时的写法,不再被推荐使用。
注意一般情况下,使用#userId#会配合<![CDATA[]]>
使用
因此,一般情况下,推荐使用 #{userId},除非有特殊的需求需要使用 ${userId}。