在 MyBatis 中,#{} 和 ${} 都是用于动态 SQL 语句中的占位符,但是它们的作用和使用方式是不同的。下面是它们的区别:
1. #{} —— 用于防止 SQL 注入和自动类型处理
#{}是用来将参数安全地传递到 SQL 语句中,它会将传递的参数值进行预编译,并使用 JDBC 的 PreparedStatement 设置参数值。- 通过
#{}插入的参数会经过 MyBatis 的类型处理器自动转换成数据库支持的类型。 #{}还会避免 SQL 注入,因为它会把参数值作为参数传递,而不是直接拼接到 SQL 中。
示例代码:
<select id="selectUser" resultType="User">SELECT * FROM user WHERE id = #{userId}
</select>在这个例子中,#{userId} 会被 MyBatis 处理成一个安全的参数传递给 SQL,而不是将 userId 的值直接拼接到 SQL 语句中。这样可以避免 SQL 注入攻击。
2. ${} —— 直接拼接字符串到 SQL 中
${}是用于将参数直接拼接到 SQL 语句中的占位符。它不会做任何的预处理或者类型转换,而是将参数的值直接插入到 SQL 语句中。- 使用
${}时需要小心,因为如果传入的参数是由用户输入的,不加以处理就会导致 SQL 注入攻击。
示例代码:
<select id="selectUser" resultType="User">SELECT * FROM user WHERE ${columnName} = #{value}
</select>在这个例子中,${columnName} 会直接拼接到 SQL 语句中,这样可以动态地选择不同的列进行查询。如果传入的 columnName 由用户输入,可能会造成 SQL 注入风险。因此,使用 ${} 时需要非常小心,确保不会将不安全的内容拼接到 SQL 语句中。
总结:
#{}:用于安全地传递参数,防止 SQL 注入,同时进行参数的类型转换。一般推荐在 SQL 查询中使用#{}。
止 SQL 注入,同时进行参数的类型转换。一般推荐在 SQL 查询中使用#{}。${}:将参数直接拼接到 SQL 语句中,可能会带来 SQL 注入的风险。通常用于动态生成列名、表名等不容易被参数化的内容。