1.#{}和${}的编译时期不同,#{}是利用prepareStatement先进行预编译,在参数位置形成一个占位符?,之后再将参数传入到占位符进行执行sql。而${}是利用statement对象来执行sql。参数是直接替换掉${}的符号。
2.PreparedStatement是java.sql包下面的一个接口,PreparedStatement用于执行动态sql,通过调用connection.preparedStatement(sql)方法可以获得PreparedStatment对象,多次执行sql速度较快,因为PreparedStatment先对sql进行预编译一次,后面不同的参数值直接传入即可,无需在次预编译。
3.Statment通常用于执行静态sql,通过调用connection.createStatement()方法获取Statment对象,执行单次sql速递较快,因为Statment不会进行预编译,直接将参数替换后编译。
4.#{}里面的值都会被当做字符串替换,而${}里面的值是传入是什么值就是什么值,不会强制转成字符串替换,这就是#{}可以防止sql注入的原因,而${}不能防止sql注入的原因。
5.在简单的明了的说明下为什么#{}可以防止sql注入:因为PreparedStatement执行sql时参数里有敏感字符如 or '1=1',数据库也会作为一个参数一个字段的属性值来处理,而不会作为一个SQL指令,如此,就起到了SQL注入的作用了!而Statement执行sql时会将or '1=1'作为一个sql指令来执行,这就会导致用户sql注入删除数据库的情况了,最重要的还是sql是否进行了预编译。
6.最后说下就是order by后面尾随的值如果是传入的参数,最好用的是${}来表示。