#{}:1.传入的参数在 SQL 中显示为字符串。2.方式能够很大程度防止 sql 注入
${}:1.传入的参数在 sql 中直接显示为传入的值。2.方式无法防止 Sql 注入。
1、使用 #{}
Mybatis 在对 #{}进行预处理时,会把 #{}处理成占位符,实际执行的时候才会把参数替换进去,相当于 jdbc 的 PreparedStatement。
<select id="select" parameterType="java.lang.String" resultType="baseMap">
select * from user where name = #{name}
</select>上面这个配置实际打印出来的 sql 为
select * from user where name = ?这就告诉 MyBatis 创建一个预处理语句(PreparedStatement)参数,在 JDBC 中,这样的一个参数在 SQL 中会由一个“?”来标识,并被传递到一个新的预处理语句中,就像这样:
// 近似的 JDBC 代码,非 MyBatis 代码...
String selectPerson = "select * from user where name = ?";
PreparedStatement ps = conn.prepareStatement(selectPerson);
ps.setString(1,name);这样有效的预防了 sql 注入。
2、使用 ${}
<select id="select" parameterType="java.lang.String" resultType="baseMap">
select * from user where name=${name}
</select>上面这个配置实际打印出来的 sql 为
select * from user where name = name// 近似的 JDBC 代码,非 MyBatis 代码...
String selectPerson = "SELECT * FROM PERSON WHERE ID=?";
PreparedStatement ps = conn.prepareStatement(selectPerson);
ps.setInt(1,id);${} 则只是简单的字符串替换,在动态解析阶段,该 sql 语句会直接将变量值替换进去,这样就有可能会发生 sql 注入的风险。
3、$和 #区别
1、#{}是一个占位符,${}只是普通传值
2、#{}在使用时,会根据传递进来的值来选择是否加上双引号,因此我们传递参数时一般都是直接传递,不用加双引号;${}则不会,我们需要手动加
3、在传递一个参数时,我们在 #{}中可以写任意值
4、#{}针对 SQL 注入进行了字符过滤,${}则只是作为普通传值,并没有考虑到这些问题
5、#{}的应用场景是为给 SQL 语句的 where 字句传递条件;${}的应用场景是为了传递一些需要参与 SQL 语句语法生成的值