MyBatis在默认情况下,使用#{}语法,MyBatis会产生PreparedStatement语句中,并且安全的设置PreparedStatement参数,这个过程中MyBatis会进行必要的安全检查和转义。
因此,在Mapper文件中使用#{}语法来获取Java代码传递过来的变量更为安全,也推荐你这么做。
执行SQL如下:
SELECT * FROM emp WHERE name = #{employeeName}传递的参数:
employeeName => Smith
解析后执行的SQL:
SELECT * FROM emp WHERE name = ?
执行SQL如下:
SELECT * FROM emp WHERE name = ${employeeName}传递的参数:
employeeName => Smith
解析后执行的SQL:
SELECT * FROM emp WHERE name = Smith
${}方式会引发SQL注入的问题、同时也会影响SQL语句的预编译,所以从安全性和性能的角度出发,能使用#{}的情况下就不要使用${}。
有时候可能需要直接插入一个不做任何修改的字符串到SQL语句中。这时候应该使用${}语法。如动态SQL中的字段名,代码如下:
SELECT * FROM emp WHERE name = ${employeeName} ORDER BY ${columnName}当使用${}参数作为字段名或表名时、需指定statementType为“STATEMENT”,如:
<select id="queryMetaList" resultType="Map" statementType="STATEMENT">
SELECT * FROM emp WHERE name = ${employeeName} ORDER BY ${columnName}
</select>点击学习 MyBatis 教程,了解更多的 MyBatis 知识!
