MyBatis中#{}和${}的作用是什么

   2024-10-20 8160
核心提示:在MyBatis中,#{}和${}都是用来表示参数的占位符,但它们之间有一些差异:#{}是用来表示一个参数占位符,MyBatis会将#{}替换成一

在MyBatis中,#{}和${}都是用来表示参数的占位符,但它们之间有一些差异:

#{}是用来表示一个参数占位符,MyBatis会将#{}替换成一个问号(?),并通过PreparedStatement设置参数来防止SQL注入。#{}可以防止SQL注入攻击,因为参数值会被自动转义。

示例:select * from user where id = #{userId}

${}是用来表示直接替换参数的占位符,MyBatis会将${}替换成参数的实际值,而不是一个问号(?)。使用${}可能会导致SQL注入攻击,因为参数值不会被转义。

示例:select * from user where name = '${userName}'

因此,为了避免SQL注入攻击,推荐使用#{}来表示参数占位符。

 
举报打赏
 
更多>同类网点查询
推荐图文
推荐网点查询
点击排行

网站首页  |  关于我们  |  联系方式网站留言    |  赣ICP备2021007278号