在 MyBatis 中,# 和 $ 符号用于参数替换和表达式。它们在 SQL 语句中用于防止 SQL 注入,并允许动态地插入参数值。
#符号(预编译参数):#{parameter}用于预编译参数。- 在 SQL 语句中,
#{parameter}会被 MyBatis 解析为一个参数占位符,MyBatis 会自动将参数值进行转义,以防止 SQL 注入。 - 预编译参数适合用于简单的字符串替换,如查询和更新操作。
$符号(动态参数):${parameter}用于动态参数。- 在 SQL 语句中,
${parameter}会被 MyBatis 解析为一个动态参数。 - 动态参数允许你直接在 SQL 语句中插入变量值,而不需要进行转义。
- 动态参数适合用于复杂的表达式和计算,如拼接字符串、计算等。
总结:
#{parameter}是 MyBatis 推荐的参数替换方式,用于防止 SQL 注入,并提供了更好的安全性。${parameter}虽然允许直接插入变量值,但需要注意 SQL 注入的风险,并确保变量值的安全性。
在实际应用中,应该优先使用#{parameter}进行参数替换,以提高代码的安全性和可维护性。
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
