转自:
MyBatis中#{}和${}的不同之处是什么呢?
Mybatis简介:
MyBatis 是一款优秀的持久层框架,它支持定制化 SQL、存储过程以及高级映射。MyBatis 避免了几乎所有的 JDBC 代码和手动设置参数以及获取结果集。MyBatis 可以使用简单的 XML 或注解来配置和映射原生信息,将接口和 Java 的 POJOs(Plain Ordinary Java Object,普通的 Java对象)映射成数据库中的记录
MyBatis特点:
简单易学:本身就很小且简单。没有任何第三方依赖,最简单安装只要两个jar文件+配置几个sql映射文件。易于学习,易于使用。通过文档和源代码,可以比较完全的掌握它的设计思路和实现。
灵活:mybatis不会对应用程序或者数据库的现有设计强加任何影响。 sql写在xml里,便于统一管理和优化。通过sql语句可以满足操作数据库的所有需求。
解除sql与程序代码的耦合:通过提供DAO层,将业务逻辑和数据访问逻辑分离,使系统的设计更清晰,更易维护,更易单元测试。sql和代码的分离,提高了可维护性。
提供映射标签,支持对象与数据库的ORM字段关系映射。
提供对象关系映射标签,支持对象关系组建维护。
提供xml标签,支持编写动态sql
下文笔者讲述MyBatis中#{}和${}的区别,如下所示:
#{}:
预编译处理
${}:
字符串替换
-----------------------------------------------------
Mybatis:
在处理#{}时,会将sql中的#{}替换为?号
调用 PreparedStatement 的 set 方法来赋值;
Mybatis:
在处理${}时
会将${}替换成变量的值,会产生Sql注入漏洞
-------------------------------------------------------
在mybatis中
笔者建议使用#{},
因为使用此预处理符号,可有效防止SQL注入使系统更安全