先来看一下#{},在mybatis中:
<mapper namespace="cn.xh.dao">
<select id="getCount" parameterType="String" resultType="int">
select count() from user where age = #{value}
</select>
</mapper>
#{value}会被传入的内容替换,替换的时候将传入的内容当成字符串,加上引号:例如传入的内容为23,sql语句会变为select count() from user where age= ‘23’
这里是运行日志:
从日志可以看出实际上是相当于执行了这段代码:
String sql = "select count(*) from user where age = ?";
preparedStatement = connection.prepareStatement(sql);
preparedStatement.setString(1, “23”);
通过调用preparedStatement的setString方法传入参数可以防止sql注入,安全性更高。如果只传入一个参数该参数的名字可以随意取。
再来看一下${}:
<mapper namespace="cn.xh.dao">
<select id="getCount" parameterType="String" resultType="int">
select count() from ${value}
</select>
</mapper>
${value}会被传入的内容替换,注意此处是直接替换,不会加上引号。例如传入的内容为 user 则sql语句变为:select count() from user
看运行日志:
从运行日志可以看出这里是直接拼接字符串。
总结一下#{}和${}之间的区别:
#{}:传入的内容会被作为字符串,被加上引号,以预编译的方式传入,安全性高,可以防止sql注入。
${}:传入的内容会直接拼接,不会加上引号,可能存在sql注入的安全隐患。
所以能用#{}的地方就用#{},但是诸如传入表名,需要排序的时候order by 字段 的 “字段名”的时候可以用${}.
原文地址:https://blog.51cto.com/11583017/2468411