1、生成执行sql以及sql安全方面:
(1)使用#{}格式的语法,在mybatis中会使用Preparement语句来安全地设置值,跟踪断点会看到即将执行的sql中用“?”做占位符,执行sql类似于
PreparedStatement ps = conn.prepareStatement(sql);
ps.setInt(1,id);
同时,#{}写法会将传入的数据都当成一个字符串,会对传入的数据加一个双引号,因此可以在很大程度上防止sql注入,
如:select * from user where user_id = #{userId},如果传入的值是111,那么解析成的sql时为... where user_id = "111";
(2)使用${}时,mybatis不会将传入的数据当成一个字符串,执行sql类似于
Statement st = conn.createStatement();
ResultSet rs = st.executeQuery(sql);
这种写法会将传入的数据会直接显示在执行的sql中。
如:select * from user where user_id = #{userId},如果传入的值是100,那么解析成的sql为... where user_id = 100;
可能会发生sql注入,例如传入的参数是单引号',将会执行... where user_id = ‘ 这样的语句,会报sql语法错误。
2、传入一个不改变的字符串或者传入数据库字段(列名),例如要传入order by 后边的参数
这种情况下必须使用${}。
综上,#{}方式一般用于传入字段值,并将该值作为字符串加到执行sql中,一定程度防止sql注入;
${}方式一般用于传入数据库对象,例如传入表名,不能防止sql注入,存在风险。
3、模糊查询中,如果使用如下方式:select * from reason_detail where reason_en like '%${reason}%',此处只能使用$,使用#的话,反而会被解析为列,报错java.sql.SQLException: Column 'reason' not found