mybatis中#{ }和${ }的区别

先说结论:二者肯定是有区别的

区别总结

${ } 直接的 字符串 替换,在mybatis的动态 SQL 解析阶段将会进行变量替换。

#{ } 通过预编译,用占位符的方式?传值可以把一些特殊的字符进行转义,这样可以防止一些sql注入。

举例说明区别

比如:数据库表中id这个字段的内容为123456 or 1=1

  1. 因为#{ }接收参数使用了sql预编译,最后拼接的sql会变成:
    select id,app,url,ip,area_name,os,browser from jump_log where id = ?
    
    执行sql时会将参数进行转义,把传入的参数:123456 or 1=1加了单引号’,执行时的sql是:
    select id,app,url,ip,area_name,os,browser from jump_log where id = '123456 or 1=1'
    
  2. 通过${ }接收参数之后,最后拼接的sql如下:
    select id,app,url,ip,area_name,os,browser from jump_log where id = 123456 or 1=1
    
    这是典型的sql注入,后面的 or 1=1 会让前面的 id=123456条件失效,相当于整个where条件都失效了,最后sql相当于执行了:
    select id,app,url,ip,area_name,os,browser from jump_log
    

使用场景

在实际使用时,我们需要根据实际场景去选择,如

  1. :数据库的名称需要通过参数统一起来,以便下次修改数据库名时,只有修改一个地方即可,这时便使用${mallDbName}
<select id="selectById" resultMap="JumpLogResult">
   select
        id,app,url,ip,area_name,os,browser from ${mallDbName}.jump_log
   <where>
       id = #{id}
   </where>
</select>
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

?abc!

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值