有的时候博客内容会有变动，首发博客是最新的，其他博客地址可能会未同步,认准https://blog.zysicyj.top

全网最细面试题手册，支持艾宾浩斯记忆法。这是一份最全面、最详细、最高质量的 java面试题，不建议你死记硬背，只要每天复习一遍，有个大概印象就行了。 store.amazingmemo.com/chapterDeta…

MyBatis中的#{}和${}的区别

在MyBatis中，#{}和${}都用于在SQL语句中传递参数，但它们之间有一些关键的区别。

#{}（参数占位符）

• 预处理：#{}是参数占位符，MyBatis会使用PreparedStatement的参数占位符功能，即?，来处理传入的值。
• 安全性：使用#{}可以有效防止SQL注入，因为MyBatis会对传入的参数进行转义处理。
• 数据类型：MyBatis会根据参数的数据类型来设置PreparedStatement的参数。例如，如果传入的是一个字符串，MyBatis会知道如何正确地引用它。
• 用法示例：

  SELECT * FROM users WHERE id = #{userId}
  

${}（字符串替换）

• 直接替换：${}是字符串替换，MyBatis会将SQL中的${}替换成变量的值。
• 安全性问题：使用${}可能会导致SQL注入风险，因为它仅仅是字符串替换，不会对参数进行任何处理。
• 灵活性：${}在某些情况下更灵活，比如动态表名或列名，但这种灵活性可能会带来安全风险。
• 用法示例：

  SELECT * FROM ${tableName} WHERE id = ${id}
  

总结

• 使用#{}时，MyBatis会为SQL语句参数提供预处理和类型处理，这是一种更安全的方式，可以避免SQL注入。
• 使用${}时，MyBatis会进行简单的字符串替换，可能会导致SQL注入，因此需要谨慎使用。

在大多数情况下，推荐使用#{}来传递参数，除非有特定的需求需要使用${}来处理动态的SQL片段。

本文由mdnice多平台发布