MyBatis中#{}和${}的作用是什么

avatar
作者
筋斗云
阅读量:0

在MyBatis中,#{}和${}都是用来表示参数的占位符,但它们之间有一些差异:

  1. #{}是用来表示一个参数占位符,MyBatis会将#{}替换成一个问号(?),并通过PreparedStatement设置参数来防止SQL注入。#{}可以防止SQL注入攻击,因为参数值会被自动转义。

示例:select * from user where id = #{userId}

  1. ${}是用来表示直接替换参数的占位符,MyBatis会将${}替换成参数的实际值,而不是一个问号(?)。使用${}可能会导致SQL注入攻击,因为参数值不会被转义。

示例:select * from user where name = '${userName}'

因此,为了避免SQL注入攻击,推荐使用#{}来表示参数占位符。

    广告一刻

    为您即时展示最新活动产品广告消息,让您随时掌握产品活动新动态!