myabtis 中 {} 和 ${} 的区别是什么

有的时候博客内容会有变动,首发博客是最新的,其他博客地址可能会未同步, 认准 https://blog.zysicyj.top

全网最细面试题手册,支持艾宾浩斯记忆法。这是一份最全面、最详细、最高质量的 java 面试题,不建议你死记硬背,只要每天复习一遍,有个大概印象就行了。https://store.amazingmemo.com/chapterDetail/1685324709017001`

MyBatis 中的 #{}${} 的区别

在 MyBatis 中,#{}${} 都用于在 SQL 语句中传递参数,但它们之间有一些关键的区别。

#{}(参数占位符)

  • 预处理#{} 是参数占位符,MyBatis 会使用 PreparedStatement 的参数占位符功能,即 ?,来处理传入的值。

  • 安全性:使用 #{} 可以有效防止 SQL 注入,因为 MyBatis 会对传入的参数进行转义处理。

  • 数据类型:MyBatis 会根据参数的数据类型来设置 PreparedStatement 的参数。例如,如果传入的是一个字符串,MyBatis 会知道如何正确地引用它。

  • 用法示例

    1
    SELECT * FROM users WHERE id = #{userId}

${}(字符串替换)

  • 直接替换${} 是字符串替换,MyBatis 会将 SQL 中的 ${} 替换成变量的值。

  • 安全性问题:使用 ${} 可能会导致 SQL 注入风险,因为它仅仅是字符串替换,不会对参数进行任何处理。

  • 灵活性${} 在某些情况下更灵活,比如动态表名或列名,但这种灵活性可能会带来安全风险。

  • 用法示例

    1
    SELECT * FROM ${tableName} WHERE id = ${id}

总结

  • 使用 #{},MyBatis 会为 SQL 语句参数提供预处理和类型处理,这是一种更安全的方式,可以避免 SQL 注入。
  • 使用 ${},MyBatis 会进行简单的字符串替换,可能会导致 SQL 注入,因此需要谨慎使用。

在大多数情况下,推荐使用 #{} 来传递参数,除非有特定的需求需要使用 ${} 来处理动态的 SQL 片段。