前言
MyBatis中提供了两种在SQL语句中插入动态参数的方式:#{}和${},常见的做法是使用#{},可以防止SQL注入攻击,而 ${} 有SQL注入风险。那么你是否有疑问,这些天并没有用过${},那么${}有存在的必要吗? 它的作用和使用场景是什么呢?
区别
先简单说说两者的区别,这也是面试的常考点之一。
#{} 是预编译处理,可以防止SQL注入攻击,传递参数底层使用PreparedStatement,同时可以自动进行类型转换,比如将字符串转换为数字等。
${} 是字符串替换,它会直接将参数替换到SQL语句中,传递参数底层使用Statement。因为是字符串替换,所以无法防止SQL注入攻击,同时也无法进行类型转换。
${}的作用
但是在某些情况下${} 是非常有用的,而#{}却是无能为力的!
例如:当参数是
订阅专栏 解锁全文
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
