Mybatis中#和$区别（带脑图）

零、引言

使用 #{name} 的时候，MyBatis会进行预编译，防止SQL注入的问题（官方话）

用一个通俗一点的例子来解释，比如有如下MyBatis的SQL语句

21、#{}和${}的区别.png

一、最正确的用法

<select id="find"> ... where name = #{name} order by ${columnName} </select>

xxxxxxxxxx

3

 

1

<select id="find">

2

    ... where name = #{name} order by ${columnName}

3

</select>

说明：如果name的类型为String值为LCF，columnName的类型为String值为 id

上述SQL翻译结果是：

... where name = 'LCF' order by id

xxxxxxxxxx

1

 

1

... where name = 'LCF' order by id

1. #{name} 会根据传入数据的类型进行预编译，所以在生成SQL的时候自动加上了单引号。

2.${columnName} 会直接将结果替换进来。

二、反例说明

<select id="find"> ... where name = ${name} order by #{columnName} </select>

xxxxxxxxxx

3

 

1

<select id="find">

2

    ... where name = ${name} order by #{columnName}

3

</select>

说明：基本类型和值如上所述，该SQL翻译出来的结果是什么？

... where name = LCF order by 'id'

xxxxxxxxxx

1

 

1

... where name = LCF order by 'id'

仔细看LCF是没有单引号引起来的，反倒是 id 被单引号括起来了。

三、结论

#会进行预编译，防止SQL注入。

$会被直接进行字符替换，容易造成SQL注入。

#####################LCF###############2017-06-21#####################

转载于:https://www.cnblogs.com/LiuChunfu/p/7062297.html