1. #{id}(参数占位符)
-
作用: 使用 #{id} 时,MyBatis 会将 id 参数绑定为 JDBC 的参数。这种方式能够有效防止 SQL 注入攻击,因为它会进行参数的预处理,将参数值作为数据类型的绑定,而不是直接插入到 SQL 语句中。
-
用法示例:
@Select("SELECT * FROM users WHERE id = #{id}") User getUserById(@Param("id") int id);
在这个示例中,id 的值会被作为参数绑定,而不是直接拼接到 SQL 语句中。
2. ${id}(字符串替换)
-
作用: 使用 ${id} 时,MyBatis 会直接将 id 的值替换到 SQL 语句中,这意味着该值是直接拼接到 SQL 语句字符串的。这种方式在某些情况下是有用的,例如动态表名或列名的场景。
-
短暂使用示例:
@Select("SELECT * FROM ${tableName} WHERE id = #{id}") User getUserById(@Param("tableName") String tableName, @Param("id") int id);
在这个示例中,${tableName} 将被直接替换为传入的字符串,这对于动态表名是必要的,但同时它也存在 SQL 注入的风险,可能会导致安全问题。
总结
- 使用#{} 时,MyBatis 会自动处理参数,以保护 SQL 执行的安全性,适用于大多数场景(尤其是插入、更新、删除等操作)。
- 使用 ${} 时,参数会被直接替换到 SQL 语句中,适用于动态 SQL 生成(如动态表名),但需要小心处理输入,以避免 SQL 注入。
因此,在判断何时使用这两种方式时,安全性应该是优先考虑的因素。建议尽可能使用 #{} 除非确实需要使用 ${}。