MyBatis将 #{…} 解释为JDBC prepared statement 的一个【参数标记】。
而将 ${…} 解释为 【字符串替换】。
1. #将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。
如:order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by "111",
如果传入的值是id,则解析成的sql为order by "id".
2. $将传入的数据直接显示生成在sql中。如:order by $user_id$,
如果传入的值是111,那么解析成sql时的值为order by 111,
如果传入的值是id,则解析成的sql为order by id.
3. #方式能够很大程度防止sql注入。
4. $方式无法防止Sql注入。
5. $方式一般用于传入数据库对象,例如传入表名.
6. 一般能用#的就别用$.
ps:在使用mybatis中还遇到<![CDATA[]]>的用法,在该符号内的语句,将【不会】被当成字符串来处理,而是直接当成sql语句,比如要执行一个存储过程。
MyBatis将 #{…} 解释为JDBC prepared statement 的 一个 【参数标记。
而将 ${…} 解释为 字符串替换。
理解这两者的区别是很有用的, 因为在某些SQL语句中并不能使用参数标记(parameter markers)。
比如,我们 【不能】 在表名(table name)的位置使用【参数标记】。
假设有下面的代码:
01.Map<String, Object> parms = new HashMap<String, Object>();
02.parms.put("table", "foo"); // 表名
03.parms.put("criteria", 37); // 查询过滤条件
04.List<Object> rows = mapper.generalSelect(parms);
01.<select id="generalSelect" parameterType="map">
02. select * from ${table} where col1 = #{criteria}
03.</select>
MyBatis生成的SQL语句(prepared statement)如下所示:
01.select * from foo where col1 = ?
重要提示: 请注意,使用$ {…} (字符串替换)时可能会有SQL注入攻击的风险。
另外,字符串替换在处理复杂类型也可能常常发生问题,如日期类型。由于这些因素,我们建议您尽可能地使用 #{…} 这种方式。