默认,使用#{}语法,MyBatis会产生PreparedStatement中。而且安全的设置PreparedStatement參数,这个过程中MyBatis会进行必要的安全检查和转义。
演示样例1: 运行SQL:Select * from emp where name = #{employeeName} 參数:employeeName=>Smith 解析后运行的SQL:Select * from emp where name = ? 运行SQL:Select * from emp where name = ${employeeName} 參数:employeeName传入值为:Smith 解析后运行的SQL:Select * from emp where name =Smith
综上所述、${}方式会引发SQL注入的问题、同一时候也会影响SQL语句的预编译。所以从安全性和性能的角度出发。能使用#{}的情况下就不要使用${}
可是${}在什么情况下使用呢?
有时候可能须要直接插入一个不做不论什么改动的字符串到SQL语句中。这时候应该使用${}语法。
比方,动态SQL中的字段名,如:ORDER BY ${columnName}
注意:当使用${}參数作为字段名或表名时、需指定statementType为“STATEMENT”,如:
<select id="queryMetaList" resultType="Map" statementType="STATEMENT">Select * from emp where name = ${employeeName} ORDER BY ${columnName}</select>
版权声明:本文博客原创文章,博客,未经同意,不得转载。
转载于:https://www.cnblogs.com/bhlsheji/p/4721749.html
