#{}和${}的区别
- .
- 本质区别:
- 使用注意事项
- 防止SQL注入
- 排序
- like查询
.
在使用mybatis操作数据库的时候,我们在编写sql语言的时候,会遇到一个问题,就是在传参的时候,有两个符号#,$.这两个符号有什么异同呢,接下来,我就会带着大家对这个问题进行简单的探讨
本质区别:
#执行的是预编译SQL,$执行的是即时SQL.
#{} 使用的是预编译SQL, 通过 ? 占位的方式, 提前对SQL进行编译, 然后把参数填充到SQL语句中. #{} 会根据参数类型, 自动拼接引号 ‘’ .
${} 会直接进行字符替换, ⼀起对SQL进行编译. 如果参数为字符串, 需要加上引号 ‘’ ,因为它不会自动拼接引号 ‘’ .
使用注意事项
防止SQL注入
SQL注入:是通过操作输入的数据来修改事先定义好的SQL语句,以达到执行代码对服务器进行攻击的方法。
因此,${}有SQL注入的风险,我们应该尽量使用#{}
排序
在做sql排序的时候,desc和asc不能添加引号''
',因此我们只能使用${}
like查询
like查询表达式:
‘%参数%’
如果参数使用#{},则会给参数自动添加一个''
,查询会报错,因此我们不能使用#{},但是使用${}又可能会导致SQL注入,因此我们需要用其他的方法来解决问题
解决办法: 使用mysql 的内置函数 concat() 来处理,实现代码如下:
like concat('%',#{参数},'%')