MyBatis中#{}和${}的作用是什么

1152
2024/4/10 14:42:52
栏目: 编程语言
开发者测试专用服务器限时活动,0元免费领,库存有限,领完即止! 点击查看>>

在MyBatis中,#{}和${}都是用来表示参数的占位符,但它们之间有一些差异:

  1. #{}是用来表示一个参数占位符,MyBatis会将#{}替换成一个问号(?),并通过PreparedStatement设置参数来防止SQL注入。#{}可以防止SQL注入攻击,因为参数值会被自动转义。

示例:select * from user where id = #{userId}

  1. ${}是用来表示直接替换参数的占位符,MyBatis会将${}替换成参数的实际值,而不是一个问号(?)。使用${}可能会导致SQL注入攻击,因为参数值不会被转义。

示例:select * from user where name = '${userName}'

因此,为了避免SQL注入攻击,推荐使用#{}来表示参数占位符。

辰迅云「云服务器」,即开即用、新一代英特尔至强铂金CPU、三副本存储NVMe SSD云盘,价格低至29元/月。点击查看>>

推荐阅读: 如何优化PostgreSQL的MyBatis操作