有的时候博客内容会有变动,首发博客是最新的,其他博客地址可能会未同步,认准
https://blog.zysicyj.top
全网最细面试题手册,支持艾宾浩斯记忆法。这是一份最全面、最详细、最高质量的 java面试题,不建议你死记硬背,只要每天复习一遍,有个大概印象就行了。 https://store.amazingmemo.com/chapterDetail/1685324709017001`
MyBatis中的#{}和${}的区别
在MyBatis中,#{}和${}都用于在SQL语句中传递参数,但它们之间有一些关键的区别。
#{}(参数占位符)
-
「预处理」: #{}是参数占位符,MyBatis会使用PreparedStatement的参数占位符功能,即?,来处理传入的值。 -
「安全性」:使用 #{}可以有效防止SQL注入,因为MyBatis会对传入的参数进行转义处理。 -
「数据类型」:MyBatis会根据参数的数据类型来设置PreparedStatement的参数。例如,如果传入的是一个字符串,MyBatis会知道如何正确地引用它。 -
「用法示例」: SELECT * FROM users WHERE id = #{userId}
${}(字符串替换)
-
「直接替换」: ${}是字符串替换,MyBatis会将SQL中的${}替换成变量的值。 -
「安全性问题」:使用 ${}可能会导致SQL注入风险,因为它仅仅是字符串替换,不会对参数进行任何处理。 -
「灵活性」: ${}在某些情况下更灵活,比如动态表名或列名,但这种灵活性可能会带来安全风险。 -
「用法示例」: SELECT * FROM ${tableName} WHERE id = ${id}
总结
-
「使用 #{}时」,MyBatis会为SQL语句参数提供预处理和类型处理,这是一种更安全的方式,可以避免SQL注入。 -
「使用 ${}时」,MyBatis会进行简单的字符串替换,可能会导致SQL注入,因此需要谨慎使用。
在大多数情况下,推荐使用#{}来传递参数,除非有特定的需求需要使用${}来处理动态的SQL片段。
本文由 mdnice 多平台发布
扫一扫
448
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
