MyBatis中#{ }和${ }的区别

一、结论

• #{ }：预编译占位符 ？，防止sql注入，会在参数两端加上单引号 ’ ’
• ${ }：sql拼接符号，如表名必须用这个
• #{ } 变量的替换是在 DBMS 中, ${ } 变量的替换阶段是在动态 SQL解析阶段
• 只要能够使用#{ }解决的地方，我们都应该使用#{ }

二、细节

1、 #{ }

• 被解析为一个 JDBC 预编译语句（prepared statement）的参数占位符 ? 会在参数两端加上单引号 ’ ’ ;
• 防止注入式攻击，所以只要能够使用#{ }解决的地方，我们都应该使用#{ }

select * from user where name = #{name};
select * from user where name = ?;

select * from user where name = ${name};
select * from user where name = 'Joyce';

2.${ }

• 是单纯的字符串拼接，拼接完成后才会对SQL进行编译、执行，所以性能较低 ,且不能复用
• 由于表名不能加单引号，所以不能使用#{ }。这时候就需要使用${ }来进行字符串拼接。

${ } 在预编译之前已经被变量替换了，这会存在 sql 注入问题。例如：

select * from ${tableName} where name = #{name}

假如，我们的参数 tableName 为" user; delete user; – "，那么 SQL 动态解析阶段之后，预编译之前的 sql 将变为：

select * from user; delete user; -- where name = ?;

–之后的语句被注释掉，而原本查询用户的语句变成了查询所有用户信息+删除用户表的语句，会对数据库造成重大损伤。

重要：接受从用户输出的内容并提供给语句中不变的字符串，这样做是不安全的。这会导致潜在的SQL注入攻击，因此你不应该允许用户输入这些字段，或者通常自行转义并检查