mysql中#{}和${}的区别详解


本文整理自网络,侵删。

#{}会将传入的数据当成一个字符串,会对自动传入的数据加一个双引号

order by #{userId}   
这里假如userId = 111,那么解析成sql时会变成 order by "111"
这里如果userId = idStr,那么解析成sql时会变成 order by "idStr"

${}会将传入的数据直接显示生成在sql中

order by #{userId}  
这里假如userId = 111,那么解析成sql时会变成 order by 111
这里如果userId = idStr,那么解析成sql时会变成 order by idStr

#方式能够很大程度防止sql注入;$方式无法防止Sql注入。

$方式一般用于传入数据库对象,例如传入表名。

一般能用#的就别用$。MyBatis排序时使用order by 动态参数时需要注意,用$而不是#

默认情况下,使用#{}格式的语法会导致MyBatis创建预处理语句属性并以它为背景设置安全的值(比如?)。这样做很安全,很迅速也是首选做法,有时你只是想直接在SQL语句中插入一个不改变的字符串。比如,像ORDER BY,你可以这样来使用:

ORDER BY ${columnName}; 这里MyBatis不会修改或转义字符串。

例子:

在没有做防Sql注入的时候,我们的Sql语句可能是这么写的:

<select id="fetchStudentByName" parameterType="String" resultType="entity.StudentEntity"> SELECT id,name,age FROM student WHERE name = '${value}' </select>

阅读剩余部分

相关阅读 >>

mysql server如何关闭

mysql怎么删除数据表?

介绍mysql安装测试数据库employees

mysql数据库优化之索引实现原理与用法分析

mysql的存储引擎innodb和myisam

mysql中curdate()函数的代码案例

mysql容器之间的replication配置实例详解

mysql实现自增步长调整

mysql怎么批量录入数据

mysql为什么主键自增

更多相关阅读请进入《mysql》频道 >>


数据库系统概念 第6版
书籍

数据库系统概念 第6版

机械工业出版社

本书主要讲述了数据模型、基于对象的数据库和XML、数据存储和查询、事务管理、体系结构等方面的内容。



打赏

取消

感谢您的支持,我会继续努力的!

扫码支持
扫码打赏,您说多少就多少

打开支付宝扫一扫,即可进行扫码打赏哦

分享从这里开始,精彩与您同在

评论

管理员已关闭评论功能...

    正在狠努力加载,请稍候...