在传入的参数作为select、create等后面的查询或创建列的字段名或表名时,一定要使用“${column}”的格式,而不能使用“#{column}”的格式。
- #{}将传入的参数当成一个字符串,会给传入的参数加一个双引号
- ${}将传入的参数直接显示生成在sql中,不会添加引号
- #{}能够很大程度上防止sql注入,${}无法防止sql注入
在动态sql解析过程,#{ }与${ }的效果是不一样的:
#{ }解析为一个 JDBC 预编译语句(prepared statement)的参数标记符。
sql语句:
select #{column},name from test where name = #{name};
会被解析为:
select ?,name from test where name = ?;
#{ }被解析为一个参数占位符“?”,select后面的“?”在运行时会报异常,无法解析。
${ } 仅仅为一个纯粹的字符串(String)替换,在动态 SQL 解析阶段将会进行变量替换
sql语句:
select ${column},name from test where name = ${name};
当传递参数“sex”、“user”时,sql会解析为:
select sex,name from test where name = "user";
可以看到预编译之前的sql语句已经不包含变量column和name了。
${}的变量的替换阶段是在动态 SQL 解析阶段,而#{}的变量的替换是在 DBMS 中。
示例:
<select id="selectStudentList" parameterMap="GetStudentParam" resultType="java.util.List">
select ${columnName} from ${tableName}
</select>