【Mybatis小白从0到90%精讲】14: Mybatis中传递参数 有了#,为什么还需要$

CSDN成就一亿技术人

文章目录

  • 前言
  • 区别
  • ${}的作用


前言

MyBatis中提供了两种在SQL语句中插入动态参数的方式:#{}和${},常见的做法是使用#{},可以防止SQL注入攻击,而 ${} 有SQL注入风险。那么你是否有疑问,这些天并没有用过${}那么${}有存在的必要吗? 它的作用和使用场景是什么呢?


区别

先简单说说两者的区别,这也是面试的常考点之一

#{}预编译处理,可以防止SQL注入攻击,传递参数底层使用PreparedStatement,同时可以自动进行类型转换,比如将字符串转换为数字等。

${}字符串替换,它会直接将参数替换到SQL语句中,传递参数底层使用Statement。因为是字符串替换ÿ

你可能感兴趣的:(#,mybatis,java,mybatis井号,mybatis传参井号)