ibatis中#与$的区别

iteye_18021

于 2010-08-02 15:57:32 发布

阅读量121

点赞数

CC 4.0 BY-SA版权

分类专栏：集成框架文章标签： iBATIS SQL

本文链接：https://blog.youkuaiyun.com/iteye_18021/article/details/81898701

集成框架专栏收录该内容

18 篇文章

订阅专栏

本文深入探讨了SQL注入风险防范和性能优化的关键点，通过对比$与#在字符串拼接和变量替换中的作用，阐述了它们在避免SQL注入和提高查询效率上的重要性。同时，文章详细介绍了如何使用prepareStatement来有效执行包含变量的SQL查询，以实现安全高效的数据操作。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

$ 的作用实际上是字符串拼接，
select * from $tableName$
等效于
StringBuffer sb = new StringBuffer(256);
sb.append("select * from ").append(tableName);
sb.toString();

#用于变量替换
select * from table where id = #id#
等效于
prepareStement = stmt.createPrepareStement("select * from table where id = ?")
prepareStement.setString(1,'abc');

对于变量部分，应当使用#，这样可以有效的防止sql注入，# 都是用到了prepareStement，这样对效率也有一定的提升 $只是简单的字符拼接而已，对于非变量部分，那只能使用$，实际上，在很多场合，$也是有很多实际意义的
例如
select * from $tableName$ 对于不同的表执行统一的查询
update $tableName$ set status = #status# 每个实体一张表，改变不用实体的状态