这篇文章主要讲述Mybatis当中#{}和${]的区别,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧。
#和$的区别
#{key}:获取参数的值,预编译到SQL中。安全。
${key}:获取参数的值,拼接到SQL中。有SQL注入问题。
两个都可以用来获取参数的值,但是$可以完成一些#完不成的,比如传输表名称,和排序字段名称等。
什么是SQL注入
也就是假如有不法分子,知道了你这个地方是用$接值的,他直接可以在参数当中传入自己想要执行的sql,在管理员不知情的情况下实现非法操作。
代码示例
xml映射sql语句,这里我们用**$接值**,连表名我们也是动态传值的。
<select id="getEmpByMap" resultType="com.gzl.mybatis.bean.Employee">
select * from ${tableName} where id=${id} and last_name=${lastName}
</select>
这里我们可以看出,他直接就把参数当成sql语句,拼接到sql当中了。
#接值
<select id="getEmpByMap" resultType="com.gzl.mybatis.bean.Employee">
select * from #{tableName} where id=#{id} and last_name=#{lastName}
</select>
这时候会发现,他执行的时候直接就报错,#不能动态传表名,原生jdbc不支持表名做占位符的。包括排序字段名称也是。
总结
能通过#来接值的,尽量不要用$。
比如分表、排序。。。;按照年份分表拆分
select * from ${year}_salary where xxx;
select * from tbl_employee order by ${f_name} ${order}