#{}号的含义
默认情况下,使用 #{} 参数语法时,MyBatis 会创建 PreparedStatement 参数占位符,sql预编译,并通过占位符安全地设置参数(就像使用 ? 一样)。
${}号含义
${ } 仅仅为一个纯碎的 string 替换,在动态 SQL 解析阶段将会进行变量替换
${ } 的变量的替换阶段是在动态 SQL 解析阶段。
两者对比
(1)
- #{} 为参数占位符 ?,即sql 预编译
- ${} 为字符串替换,即 sql 拼接
(2)
- #{}:动态解析 -> 预编译 -> 执行
- ${}:动态解析 -> 编译 -> 执行
(3)
- #{} 的变量替换是在DBMS 中
- ${} 的变量替换是在 DBMS 外
(4)
- 变量替换后,#{} 对应的变量自动加上单引号 ‘’
- 变量替换后,${} 对应的变量不会加上单引号 ‘’
(5)
- #{} 能防止sql 注入
- ${} 不能防止sql 注入
总结
尽量使用#{},必须使用${}的时候,要么不允许用户输入这些字段,要么自行转义并检验这些参数。