在MyBatis中,使用#
和$
的方式是用来引用参数的。
-
#{}
:#{}
是预编译处理,MyBatis会将SQL中的#{}
替换为问号?
,同时将参数值设置到这个问号上。这样做可以防止SQL注入,因为参数会被MyBatis当作字符串值处理,所以它们不会被解释为SQL指令的一部分。 -
${}
:${}
是字符串替换,MyBatis会直接将${}
中的内容替换到SQL语句中,如果参数是一个字符串,那么它会被引号包围。这种方式可能会引起SQL注入,因此要慎用。<!-- 使用#{} --> <select id="selectById" resultType="map"> SELECT * FROM table WHERE id = #{id} </select> <!-- 使用${} --> <select id="selectByStatus" resultType="map"> SELECT * FROM table WHERE status = ${status} </select>
在第一个查询中,MyBatis会将
#{id}
替换为问号,并在执行时设置参数值。在第二个查询中,MyBatis会将
${status}
直接替换为字符串,如果status
是变量,它会被直接用作SQL的一部分。如果
status
的值是合法的SQL语句的一部分,那么这个查询可能会被用于执行某种类型的SQL注入攻击。因此,除非绝对必要,否则应该尽量避免使用${}
。