本文介绍了MyBatis中#{}和${}的区别与选择。#{}是占位符,预编译后执行,对应变量自动加单引号,能防止SQL注入;${}是拼接符,编译后执行,对应变量不加单引号,不能防止SQL注入。建议能用#{}就用,表名作参数或order by排序时用${},传参可用@Param注解。
一、区别
#{}和${}这两个语法是为了动态传递参数而存在的,是Mybatis实现动态SQL的基础,总体上他们的作用是一致的(为了动态传参),但是在编译过程、是否自动加单引号、安全性、使用场景等方面有很多不同,下面详细比较两者间的区别。
1、编译过程:
#{}是占位符,预编译-->执行
${}是拼接符,编译-->执行
2、是否自动加单引号
#{}对应的变量会自动加单引号
${}对应的变量不会自动加单引号
3、安全性:
#{}能防止sql注入
${}不能防止sql注入
4、Mybatis默认值不同
#{}默认值arg0、arg1、arg2或0、1
${}默认值param1、param2、param3
二、如何选择
1、能用 #{} 的地方就用 #{},尽量少用 ${}
2、表名作参数,或者order by 排序时用 ${}
3、传参时参数使用@Param("")注解,@Param注解的作用是给参数命名,参数命名后就能根据名字得到参数值(相当于又加了一层密)。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
