MyBatis中#{}和${}的區別詳解

區別

1.#將傳入的數據都當成一個字符串，會對自動傳入的數據加一個雙引號。如：order by #user_id#，若是傳入的值是111,那麼解析成sql時的值爲order by "111", 若是傳入的值是id，則解析成的sql爲order by "id".

2.將傳入的數據直接顯示生成在sql中。如：orderby將傳入的數據直接顯示生成在sql中。如：orderbyuser_id$，若是傳入的值是111,那麼解析成sql時的值爲order by user_id, 若是傳入的值是id，則解析成的sql爲order by id.

3.#方式可以很大程度防止sql注入。

4.$方式沒法防止Sql注入。

5.$方式通常用於傳入數據庫對象，例如傳入表名.
　　
6.通常能用#的就別用$.

MyBatis排序時使用order by 動態參數時須要注意，用$而不是#

 

實例講解：

動態 sql 是 mybatis 的主要特性之一，在 mapper 中定義的參數傳到 xml 中以後，在查詢以前 mybatis 會對其進行動態解析。mybatis 爲咱們提供了兩種支持動態 sql 的語法：#{} 以及 ${}。

在下面的語句中，若是 name 的值爲 zhangsan，則兩種方式無任何區別：

select * from user where name = #{name};

select * from user where name = ${name};

其解析以後的結果均爲

select * from user where name = 'zhangsan';

可是 #{} 和 ${} 在預編譯中的處理是不同的。

#{} 在預處理時，會把參數部分用一個佔位符 ? 代替，變成以下的 sql 語句：

select * from user where name = ?;

而 ${} 則只是簡單的字符串替換，在動態解析階段，該 sql 語句會被解析成

select * from user where name = 'zhangsan';

以上，#{} 的參數替換是發生在 DBMS 中，而 ${} 則發生在動態解析過程當中。

 

那麼，在使用過程當中咱們應該使用哪一種方式呢？

答案是：優先使用 #{}。由於 ${} 會致使 sql 注入的問題。

看下面的例子：

select * from ${tableName} where name = #{name}

 

在這個例子中，若是表名爲

user; delete user; --

 

則動態解析以後 sql 以下：

select * from user; delete user; -- where name = ?;

 

--以後的語句被註釋掉，而本來查詢用戶的語句變成了查詢全部用戶信息+刪除用戶表的語句，會對數據庫形成重大損傷，極大可能致使服務器宕機。

可是表名用參數傳遞進來的時候，只能使用 ${} 。這也提醒咱們在這種用法中要當心sql注入的問題。

 

原文連接：https://www.jianshu.com/p/7003178f1923