Mybatis 的 ${} #{}的区别是什么
${} 相当于直接拼接SQL,类似于 JDBC 的 Statement 用法,
String sql = “select * from table where xxx = ” + xxx + ” and yyy = ” + yyy;
这种方式缺陷是有被 SQL 注入的风险,并且数据库每次都会重新编译此SQL,因为每次都认为是一个新的 SQL。
==#{} 相当于预编译 SQL,对应 JDBC 的 PreparedStatement,就是 ? ==
占位符形式
String sql = “select * from table where xxx = ? and yyy = ?”;
// 然后每次执行动态传入不同的参数即可这样的好处是不会被 SQL 注入,因为数据库会将所有特殊的字符都当做参数处理,而且多次执行的话数据库也不会重新编译 SQL,因为每次数据库都认为是同一个 SQL,只是替换个参数而已。
综上:能用 #{} 就用 #{}只有在 #{} 不满足的情况下才用 ${}不支持的情况
比如对表名,排序字段,顺序等不支持参数化的部分做动态化的情况。
但要严格注意安全
例如:表名我们只允许他传递我们想要的几种,严格做好参数校验以防止 SQL 注入
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。
文章由极客之音整理,本文链接:https://www.bmabk.com/index.php/post/5735.html
