sql中#{}与${}的区别

${}和#{}是两种不同的参数占位符语法，常用于动态SQL查询的构建。它们在不同的SQL框架中有着不同的用法和含义。
${}占位符：${}占位符在一些SQL框架（如MyBatis）中用于字符串替换。它会将占位符${}中的内容直接替换为相应的参数值，并将整个替换后的字符串作为SQL查询的一部分。这种替换是直接的文本替换，不进行参数的预编译或安全过滤。这意味着${}占位符存在潜在的SQL注入的风险。
示例：SELECT * FROM table WHERE column = ${param}

{}占位符：#{}占位符常见于诸如MyBatis等SQL框架中，用于参数的预编译和安全过滤。它会将占位符#{}中的内容作为一个参数占位符，并在查询执行之前将参数进行替换和预编译。这种方式可以防止SQL注入攻击，并提供更高的安全性。

示例：SELECT * FROM table WHERE column = #{param}
综上所述，${}占位符是直接进行文本替换的，不进行参数的预编译和安全过滤，存在潜在的安全风险；而#{}占位符是进行参数的预编译和安全过滤的，能够有效防止SQL注入攻击。具体使用哪种占位符，需要根据所使用的SQL框架和具体的安全需求来决定。
————————————————
版权声明：本文为CSDN博主「Pyyyyyyyyyyyy692」的原创文章，遵循CC 4.0 BY-SA版权协议，转载请附上原文出处链接及本声明。
原文链接：https://blog.csdn.net/weixin_72766348/article/details/132548348