mybatis #{} 和 ${} 的区别？

Mybatis中的#{}和${}是用于动态SQL的两种不同的占位符语法。

1. #{}：这是Mybatis中的预编译语法，表示将参数值作为一个占位符来使用。使用#{}可以避免SQL注入的风险。在SQL被预编译之后，#{}中的参数值会通过JDBC的预编译机制进行占位符替换。即使参数是字符串类型，也可以自动添加引号，使得传入的参数值在SQL中被当作字符串处理。

例如，假设有一个查询语句：

SELECT * FROM users WHERE username = #{username}

当传入参数为"John"时，会被转化为：

SELECT * FROM users WHERE username = 'John'

2. ${}：这是Mybatis中的文本替换语法，表示在生成的SQL中直接插入参数值。使用${}时，传入的参数值会被直接替换到SQL语句中，没有任何额外的处理。这种写法可以用于表名、列名等无法使用预编译的场景。但是需要注意的是，使用${}时存在SQL注入的风险，因为参数值直接嵌入到SQL语句中，没有任何过滤或转义。

例如，假设有一个查询语句：

SELECT * FROM ${tableName}

当传入参数为"users"时，会被转化为：

SELECT * FROM users

总结：
- 使用#{}可以更安全地处理参数，并且能够自动处理类型转换和特殊字符的转义。
- 使用${}可以进行更灵活的SQL拼接，但需要注意防止SQL注入的风险。

相关问题

mybatis #和$的区别

在MyBatis中，${}和#{}都是用来替换参数的符号，但它们有以下几个区别：
1. 功能不同：${}是直接替换参数的值，而#{}是进行预处理，并将参数的值设置到预编译语句中。
2. 使用场景不同：通常情况下，我们使用#{}来替换普通的参数，而对于需要传递SQL命令或SQL关键字的情况，我们需要使用${}。但是在使用${}之前，务必进行安全验证。
3. 安全性不同：使用${}存在安全问题，容易引发SQL注入攻击。而使用#{}进行预处理可以有效防止这种安全问题。

mybatis #，$ 的区别

在MyBatis中，#{}和${}都是用来传递参数的。它们的区别在于#{}是预编译语句，可以防止SQL注入攻击，而${}是直接替换字符串，不能防止SQL注入攻击。因此，为了安全起见，建议使用#{}来传递参数。

具体来说，#{}会把传递进来的参数值替换成一个占位符，并且对占位符进行预编译处理，最终生成一个完整的SQL语句。而${}则直接把传递进来的参数值替换到SQL语句中，没有任何预编译处理。

举个例子，如果我们要传递一个字符串参数name到SQL语句中，可以这样写：

使用#{}：select * from user where name = #{name}
使用${}：select * from user where name = ${name}

如果传递的参数是"Tom' or 1=1 --"，那么使用#{}传递参数可以安全地防止SQL注入攻击，而使用${}则会导致SQL注入攻击。因此，在实际开发中，应尽量避免使用${}来传递参数。