Mybatis # 和 $ 的區別

感謝：http://www.cnblogs.com/dato/p/7027949.html

淺談 Mybatis中的 ${ } 和 #{ }的區別

好了，真正作開發也差很少一年了。一直都是看別人的博客，本身懶得寫，並且也不會寫博客，今天就開始慢慢的練習一下寫博客吧。前段時間恰好在公司遇到這樣的問題。

1、舉例說明

1 select * from user where name = "dato"; 
2 
3 select * from user where name = #{name}; 
4 
5 select * from user where name = ${name};

通常狀況下，咱們都不會注意到這裏面有什麼不同的地方。由於這些sql均可以達到咱們的目的，去查詢名字叫dato的用戶。

2、區別

動態 SQL 是 mybatis 的強大特性之一，也是它優於其餘 ORM 框架的一個重要緣由。mybatis 在對 sql 語句進行預編譯以前，會對 sql 進行動態解析，解析爲一個 BoundSql 對象，也是在此處對動態 SQL 進行處理的。在動態 SQL 解析階段， #{ } 和 ${ } 會有不一樣的表現

select * from user where name = #{name};

#{} 在動態解析的時候， 會解析成一個參數標記符。就是解析以後的語句是：

select * from user where name = ？;

 

 

那麼咱們使用 ${}的時候

select * from user where name = ${name};

${}在動態解析的時候，會將咱們傳入的參數當作String字符串填充到咱們的語句中，就會變成下面的語句

select * from user where name = "dato";

預編譯以前的 SQL 語句已經不包含變量了，徹底已是常量數據了。至關於咱們普通沒有變量的sql了。

綜上所得， ${ } 變量的替換階段是在動態 SQL 解析階段，而 #{ }變量的替換是在 DBMS 中。

這是 #{} 和 ${} 咱們能看到的主要的區別，除此以外，還有如下區別：

• #方式可以很大程度防止sql注入。
• $方式沒法防止Sql注入。
• $方式通常用於傳入數據庫對象，例如傳入表名.
• 通常能用#的就別用$.

因此咱們在使用mybatis的時候，儘可能的使用#方式！！！這是你們要注意的地方