#{}与${}的区别

默认情况下,使用#{}语法,但是在order by 、表名、列名时不能用#{},因为它会自动加上 引号,这时可以用${},但是要防止注入。
MyBatis会产生PreparedStatement语句中,并且安全的设置PreparedStatement参数,这个过程中MyBatis会进行必要的安全检查和转义。

#相当于对数据加上双引号(占位),它有个预编译的过程,条件对象是什么类型,接收的就是什么类型的数据;
传入基本数据类型时,可以用#{任意对象名}获取,传入pojo时用属性名获取对应属性;
相 当 于 直 接 显 示 数 据 ( 拼 接 ) , 传 入 什 么 就 是 什 么 , 这 样 容 易 受 到 注 入 攻 击 , 比 如 加 入 w h e r e n a m e = ‘ a ’ o r 1 = 1 条 件 ; 传 入 基 本 数 据 类 型 时 , 只 能 用 相当于直接显示数据(拼接),传入什么就是什么,这样容易受到注入攻击,比如加入where name = ‘a’ or 1=1 条件; 传入基本数据类型时,只能用 wherename=aor1=1{value}获取,传入pojo时用属性名获取对应属性。

你可能感兴趣的:(Java)