#{}是占位符,${}是拼接符。
- #{}将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by “111”, 如果传入的值是id,则解析成的sql为order by “id”.
- ${}将传入的数据直接显示生成在sql中。如:order by ${user_id},如果传入的值是111,那么解析成sql时的值为order by 111, 如果传入的值是id,则解析成的sql为order by id.
- #{}方式能够很大程度防止sql注入,${}方式无法防止Sql注入。
- ${}方式一般用于传入数据库对象,例如传入表名。
- 能用#{}的就别用${}。MyBatis使用order by 动态参数进行排序时需要注意,用 ${}而不是#{}。
- 对于拼接符${},如果仅传入一个类型为String的参数(注意是只有一个参数),那么在 ${}中参数名称必须使用value或_parameter来代替。例如:
<select id="findByName" parameterType="java.lang.String" resultType="main.com.em.domain.Room">
SELECT * FROM room
<where>
<!--对于拼接符${},如果仅传入一个类型为String的参数(注意是只有一个参数),那么在${}中参数名称必须使用value或_parameter来代替-->
<if test="value!=null and value!=''">
AND name LIKE '%${value}%'
</if>
</where>
</select>
PS:在使用mybatis中还遇到<![CDATA[]]>的用法,在该符号内的语句,将不会被当成字符串来处理,而是直接当成sql语句,比如要执行一个存储过程。
总结
- #{}是预编译处理,${}是字符串替换。
- Mybatis 在处理#{}时,会将 sql 中的#{}替换为?号,调用 PreparedStatement 的set 方法来赋值。
- Mybatis 在处理$ {}时,就是把${}替换成变量的值。
- 使用#{}可以有效的防止 SQL 注入,提高系统安全性。
