两者在 MyBatis 中都可以作为 SQL 的参数占位符,在处理方式上不同
#{}
:在解析 SQL 的时候会将其替换成?
占位符,然后通过 JDBC 的PreparedStatement
对象添加参数值,这里会进行预编译处理,可以有效的防止 SQL 注入,提高系统的安全性${}
:在 MyBatis 中带有该占位符的 SQL 片段会被解析成动态 SQL 语句,根据入参直接替换掉这个值,然后 通过Statement
执行数据库相关操作,存在 SQL注入 的安全性问题
两者在 MyBatis 中都可以作为 SQL 的参数占位符,在处理方式上不同
#{}
:在解析 SQL 的时候会将其替换成 ?
占位符,然后通过 JDBC 的PreparedStatement
对象添加参数值,这里会进行预编译处理,可以有效的防止 SQL 注入,提高系统的安全性${}
:在 MyBatis 中带有该占位符的 SQL 片段会被解析成动态 SQL 语句,根据入参直接替换掉这个值,然后 通过 Statement
执行数据库相关操作,存在 SQL注入 的安全性问题