1.#{}是预编译处理,${}是字符串替换。
2.Mybatis在处理#{}时,会将sql中的#{}替换为?号,调用PrepareStatement的set方法来赋值;
3.Mybatis在处理 时 , 就 是 把 {}时,就是把 时,就是把{}替换成变量的值。
4.使用#{}可以有效的防止SQL注入,提高系统安全性。
注意:使用${ }会导致sql注入,不利于系统的安全性!
SQL注入:就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。常见的有匿名登录(在登录框输入恶意的字符串)、借助异常获取数据库信息等。
1、一般能用#的就别用$ 2、$方式一般用于传入数据库对象,例如传入字段名、表名等,例如order by ${column}。
