${}和#{}都是MyBatis获取参数的方式
${}:本质就是字符串拼接。使用字符串拼接的方式拼接sql,若参数类型是字符串或者日期类型还需要手动加上单引号
#{}:本质就是占位符。使用占位符的形式拼接sql,此时要是参数类型是字符串类型或者是日期类型,会自动加上单引号,不需要自己手动添加单引号
补充:
使用#{}可以有效的防止SQL注入,提高系统安全性。原因在于:预编译机制。预编译完成之后,SQL的结构已经固定,即便用户输入非法参数,也不会对SQL的结构产生影响,从而避免了潜在的安全风险。
预编译是提前对SQL语句进行预编译,而其后注入的参数将不会再进行SQL编译。我们知道,SQL注入是发生在编译的过程中,因为恶意注入了某些特殊字符,最后被编译成了恶意的执行操作。而预编译机制则可以很好的防止SQL注入。
问题:既然${}会引起sql注入,为什么有了#{}还需要有${}呢?那其存在的意义是什么?
可以这么去理解:#{}主要用于预编译,而预编译的场景其实非常受限,而${}用于替换,很多场景会出现替换,而这种场景可不是预编译