- myBatis中#{}和${}标识的区别是什么
MyBatis中的#{}和${}都是用来动态地向SQL语句中插入参数的,但它们之间存在几个关键的区别:
预编译与字符串替换:
#{}是预编译处理的参数占位符。MyBatis会将#{}中的内容替换为一个预编译语句的参数标记(通常是一个问号?),并在执行SQL前通过PreparedStatement将实际参数值安全地绑定到这个占位符上。这种方式可以有效防止SQL注入攻击,因为参数值会被正确转义。
${}则是简单的字符串替换。MyBatis会在SQL语句被发送到数据库之前,直接将${}中的内容替换为参数的实际值,不做任何转义处理。这意味着${}用法容易受到SQL注入攻击。
安全性:
使用#{}更安全,因为它通过预编译参数防止了SQL注入。
${}由于直接拼接到SQL中,不提供任何防护措施,如果参数来源于用户输入,可能会导致严重的安全问题。
数据类型处理:
#{}会根据参数的类型自动处理,比如字符串会自动加上单引号,数值类型则直接作为数值处理,无需手动添加引号。
${}不会自动处理数据类型,替换后的内容原样插入到SQL中,因此需要手动处理引号等问题。
适用场景:
#{}适用于大部分情况,尤其是需要安全地传递参数时。
${}主要用于非动态查询部分,比如表名、列名等静态SQL片段,或者是在完全确定安全的情况下进行一些特殊处理,但这种用法需要非常谨慎。
示例:
SELECT * FROM users WHERE username = #{username}; // 安全,适用于参数值。
SELECT * FROM ${tableName} WHERE id = #{id}; // 若tableName由程序控制且可信,可用于动态指定表名。
总的来说,#{}推荐用于所有需要传递参数值的情况,以确保安全性和正确的数据处理,而${}应谨慎使用,并且仅在确定不会引起SQL注入风险时用于字符串替换。
如果大家需要视频版本的讲解,欢迎关注我的B站:
