先说结论:二者肯定是有区别的
区别总结
${ }
直接的 字符串 替换,在mybatis的动态 SQL 解析阶段将会进行变量替换。
#{ }
通过预编译,用占位符的方式?
传值可以把一些特殊的字符进行转义,这样可以防止一些sql注入。
举例说明区别
比如:数据库表中id这个字段的内容为123456 or 1=1
- 因为#{ }接收参数使用了sql预编译,最后拼接的sql会变成:
执行sql时会将参数进行转义,把传入的参数:123456 or 1=1加了单引号’,执行时的sql是:select id,app,url,ip,area_name,os,browser from jump_log where id = ?
select id,app,url,ip,area_name,os,browser from jump_log where id = '123456 or 1=1'
- 通过${ }接收参数之后,最后拼接的sql如下:
这是典型的sql注入,后面的 or 1=1 会让前面的 id=123456条件失效,相当于整个where条件都失效了,最后sql相当于执行了:select id,app,url,ip,area_name,os,browser from jump_log where id = 123456 or 1=1
select id,app,url,ip,area_name,os,browser from jump_log
使用场景
在实际使用时,我们需要根据实际场景去选择,如
- :数据库的名称需要通过参数统一起来,以便下次修改数据库名时,只有修改一个地方即可,这时便使用${mallDbName}
<select id="selectById" resultMap="JumpLogResult">
select
id,app,url,ip,area_name,os,browser from ${mallDbName}.jump_log
<where>
id = #{id}
</where>
</select>