mybatis的xml中#{}和${}区别

#{}表示一个占位符号，通过#{}可以实现preparedStatement向占位符中设置值，自动进行java类型和jdbc类型转换，#{}可以有效防止sql注入。初步编译后的sql语句是" select * from tbl_employee where id = ? and last_name =?  ";说明, #{} 是以预编译的形式,直接将参数设置到sql语句中; 使用PreparedStatement的sql封装方法:设置了占位符为"?",可以有效地防止sql注入. #{}可以接收简单类型值或pojo属性值。 如果parameterType传输单个简单类型值，#{}括号中可以是value或其它名称。

使用#传入参数是，sql语句解析是会加上"",比如  select * from table where name = #{name} ,传入的name为小李，那么最后打印出来的就是

 

 select * from table where name = ‘小李’，就是会当成字符串来解析，这样相比于$的好处是比较明显对的吧，#{}传参能防止sql注入，如果你传入的参数为 单引号‘，那么如果使用${},这种方式 那么是会报错的。

 

在"EmployeeMapper.xml"中select语句将第一个#{}符号替换成了${}符号;

再次运行测试类,初步编译后的sql语句是" select * from tbl_employee where id = 4 and last_name =? ";在这里,我们可以看到使用了${}获取参数后,id=" 4 ",没有占位符"?".

因为, ${}的作用: 取出的参数值会直接封装在sql语句中,不能防止sql注入,会有安全问题.

 

配置文件中的SQL语句使用#{value}代表参数则语句在预编译时由占位符代替（?），后由DBMS转换为带单引号的参数；而用${value}代表参数则其在预编译阶段就已被编译成SQL的一部分，且不带引号，这会引发所谓的“SQL注入”的问题。

 

像如下SQL语句：
select * from user where username like '%${value}%'

就需要使用${}，它是将value字符串进行拼接

 

（在单引号、双引号之内的，用${}）