在Mybaties参数通配符中可以用#{param}或者${param}这两种方式,但是这两种方式是有一定区别的,
具体对比如下:
参数说明
#{param} :以预编译的形式,将参数设置到sql语句中,PreparedStatement,防止sql注入;
${param} :取出值直接拼装在sql中,有sql注入安全隐患;
示例:
select * from tb where id = ${id} and name=#{name}
执行后打印:
select * from tb where id = 1 and name = ?
可以看到${param}是直接拼凑sql的,因此为了根规范和安全的使用,通常使用#{param}进行参数传递。