mybatis框架中 和$传递参数的区别 和注意
展开全部
#{} : 表示一个占位符
${} : 表示字符拼接 , 会引起sql注入风险, 不推荐大家使用
演示:name 的值为 zhangsan
select * from user where name = #{name};
select * from user where name = ${name};
但是 #{} 和 ${} 在预编译中的处理是不一样的。#{} 在预处理时,会把参数部分用一个占位符 ? 代替,变成如下的 sql 语句:
select * from user where name = ?;
而 ${} 则只是简单的字符串替换,在动态解析阶段,该 sql 语句会被解析成
select * from user where name = 'zhangsan';
${} : 表示字符拼接 , 会引起sql注入风险, 不推荐大家使用
演示:name 的值为 zhangsan
select * from user where name = #{name};
select * from user where name = ${name};
但是 #{} 和 ${} 在预编译中的处理是不一样的。#{} 在预处理时,会把参数部分用一个占位符 ? 代替,变成如下的 sql 语句:
select * from user where name = ?;
而 ${} 则只是简单的字符串替换,在动态解析阶段,该 sql 语句会被解析成
select * from user where name = 'zhangsan';
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
推荐律师服务:
若未解决您的问题,请您详细描述您的问题,通过百度律临进行免费专业咨询
