mybatis #{} ${} 說明

mybatis中#{}和${}的區別

1. #將傳入的數據都當成一個字符串，會對自動傳入的數據加一個雙引號。如：order by #user_id#，若是傳入的值是111,那麼解析成sql時的值爲order by "111", 若是傳入的值是id，則解析成的sql爲order by "id". 　　
2. $將傳入的數據直接顯示生成在sql中。如：order by $user_id$，若是傳入的值是111,那麼解析成sql時的值爲order by user_id, 若是傳入的值是id，則解析成的sql爲order by id. 　　
3. #方式可以很大程度防止sql注入。 　　 4.$方式沒法防止Sql注入。

5.$方式通常用於傳入數據庫對象，例如傳入表名. 　　 6.通常能用#的就別用$.

MyBatis排序時使用order by 動態參數時須要注意，用$而不是#

字符串替換 默認狀況下，使用#{}格式的語法會致使MyBatis建立預處理語句屬性並以它爲背景設置安全的值（好比?）。這樣作很安全，很迅速也是首選作法，有時你只是想直接在SQL語句中插入一個不改變的字符串。好比，像ORDER BY，你能夠這樣來使用： ORDER BY ${columnName} 這裏MyBatis不會修改或轉義字符串。

重要：接受從用戶輸出的內容並提供給語句中不變的字符串，這樣作是不安全的。這會致使潛在的SQL注入攻擊，所以你不該該容許用戶輸入這些字段，或者一般自行轉義並檢查。

我以爲#與$的區別最大在於：#{} 傳入值時，sql解析時，參數是帶引號的，而${}穿入值，sql解析時，參數是不帶引號的。

一 : 理解mybatis中 $與#

在mybatis中的$與#都是在sql中動態的傳入參數。

eg:select id,name,age from student where name=#{name}  這個name是動態的，可變的。當你傳入什麼樣的值，就會根據你傳入的值執行sql語句。

二:使用$與#

#{}: 解析爲一個 JDBC 預編譯語句（prepared statement）的參數標記符，一個 #{ } 被解析爲一個參數佔位符 。

${}: 僅僅爲一個純碎的 string 替換，在動態 SQL 解析階段將會進行變量替換。

name-->cy

eg: select id,name,age from student where name=#{name} -- name='cy'

select id,name,age from student where name=${name}    -- name=cy

sql語句中#{}表示一個佔位符。