1.#将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:where id=#{id}
如果id传入的值是111,那么解析成SQL的值为where id=”111”;如果传入的值是id,则解析成的sql为where id = “id”。
2.
将传入的数据直接显示生成在SQL中。如:whereid=
{userid},如果传入的值是111,那么解析成SQL时的值为where id=userid,如果传入的值是id,则解析成的SQL为where id=id。
3.#方式能够很大程度防止SQL注入。
4.$方式无法防止SQL注入。
5.$方式一般用于数据库对象,例如传入表名。
如果tableName为user_role,则
select * from ${tableName} where user_code = #{userCode}
是正确的。
6.一般能用#的就别用$.
7.myBatis排序时使用order by 动态参数时需要注意,用$而不是#
举个例子大家就会明白的。写一句SQL-例如:
select * from user_role where user_code = "100";
这句话而言,需要写成
select * from ${tableName} where user_code = #{userCode}
所以,$符是直接拼成sql的 ,#符则会以字符串的形式 与sql进行拼接。