例如对于如下sql
select xxx t where t.name=#{name} order by ${name}
如果传入的值是张三,那么mybatis内部解析之后就会变成
select xxx t where t.name='张三' order by 张三
如你所见,他们之间大概有以下几点区别
#
将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。$
将传入的数据直接显示生成在sql中。#
更适合传递参数,而$
更适合传递数据库对象,如字段或者表名。#
方式能够很大程度防止sql注入,但$
不能#
的就别用$
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。