https://blog.csdn.net/xiaofanren1111/article/details/79470930 https://www.cnblogs.com/200911/p/5869097.html
在mybatis进行sql查询时,如果要用到排序功能,语句应该写成order by ${user_id}
而不是order by #{user_id}
。因为
#
将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。以order by #{user_id}为例,如果传入的值是111,那么解析成sql时的值为order by “111”, 如果传入的值是id,则解析成的sql为order by “id”。$
将传入的数据直接显示生成在sql中。以order by ${user_id}为例,如果传入的值是111,那么解析成sql时的值为order by 111, 如果传入的值是id,则解析成的sql为order by id。但是,正因为$
会照原样传递参数,所以:
而#
在底层是JDBC中的PreparedStatement
类在起作用,PreparedStatement
是我们很熟悉的Statement
的子类,它的对象包含了编译好的SQL语句。这种“准备好”的方式不仅能提高安全性,防止sql注入,而且在多次执行同一个SQL时,能够提高效率。原因是SQL已编译好,再次执行时无需再编译。
如果坚持要用$
,最好对输入的参数进行过滤,只允许白名单内的参数进行查询。