#{ }是预编译处理,MyBatis在处理#{ }时,它会将sql中的#{ }替换为?然后调用PreparedStatement的set方法来赋值,传入字符串后,会在值两边加上单引号;
${ }是字符串替换, MyBatis在处理${ }时,它会将sql中的${ }替换为变量的值,传入的数据不会加两边加上单引号。
例如:
select id,name,age from student where id =#{id},当前端把id值1,传入到后台的时候,就相当于 select id,name,age from student where id ='1'.
select id,name,age from student where id =${id},当前端把id值1,传入到后台的时候,就相当于 select id,name,age from student where id = 1.
总结:#{}是经过预编译的,是安全的,${}是未经过预编译的,仅仅是取变量的值,是不安全的,可能会存在SQL注入。
(1) 在order by 中就需要使用 $.
(2) 一般${}用在我们能够确定值的地方,也就是我们程序员自己赋值的地方。而#{}一般用在用户输入值的地方!!
版权声明:本文为zheng2780071070原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接和本声明。