mybatis中 #{} 和 ${}

在mybatis中#{}表示一个占位符：

        1、#将传入的数据都当成一个字符串，会对自动传入的数据加一个双引号

        2、#在很大程度上可以防止sql注入

        3、例如#{id}：#{}中的id表示输入的参数名称，如果输入参数是简单类型，那么#{}中的参数可以任意。

        4、能用#{}就别用${}
在mybatis中${}表示一个拼接符：

       1、${}将传入的数据直接显示生成在sql中。

       2、如果使用${},而你传入的是字符串，比如中文、英文。就必须这样：'${}',不然会报（Unknown column 'TT' in 'where clause'）的错误，当然传入数字没问题。

       3、${value}: ${}中value表示输入的参数名称，如果输入的参数是简单类型，那么${}中的值只能是value

       4、${}存在sql注入的风险，慎用！但是在特殊场景下必须使用${},比如order by 语句后面要跟动态列，就得使用${colname}.

 

也就有这样一个问题 为什么${} 不安全 还要用 ${} ？

有一些场景是必须用 ${} 的

就是 一些string 类型的 不会给加上 ‘ ’ 比如order by 语句后面要跟动态列，就得使用${colname}.

 

这点没说仔细完全