mybatis#$的区别

 

#{}方式能够很大程度防止sql注入(安全)，${}方式无法防止Sql注入。

1.#{}将传入的数据都当成一个字符串，会对自动传入的数据加一个双引号。

如：select * from user where id= #{user_id}，如果传入的值是11,那么解析成sql时的值为where id="11" 。

 

2.$ {}将传入的数据直接显示生成在sql中。

如：select * from user where id= $ {user_id}，如果传入的值是11,那么解析成sql时的值为where id=11。

 

工作中遇到的一个小bug，为自己留个笔记叭~