问题出处:MyBatis
场景:
select top #{pageSize} * from tablename
pageSize为传入参数
现象:
程序执行后,报错“’@P0’ 附近有语法错误”
解决方法:
#{pageSize} 改为 ${pageSize} ,即
select top ${pageSize} * from tablename
原因说明:
默认情况下,使用 #{}
格式的语法会导致 MyBatis 创建 PreparedStatement 参数占位符,并安全地设置参数(就像使用 ? 一样,会被使用 ? 预处理)。不过有时你就是想直接在 SQL 语句中插入一个不转义的字符串,此时使用${}
,${}
会被直接替换。
然而top,order by 是不支持预处理的。所以需要使用${}的方式。
提示:
#{}方式:用这种方式更安全,更迅速,通常也是首选做法。
${}方式:用这种方式接受用户的输入,并将其用于语句中的参数是不安全的,会导致潜在的 SQL 注入攻击。