一、舉例說明
1 select * from user where name = "dato"; 2 3 select * from user where name = #{name}; 4 5 select * from user where name = '${name}';
一般情況下,我們都不會注意到這裏面有什麼不一樣的地方。因爲這些sql都可以達到我們的目的,去查詢名字叫dato的用戶。
二、區別
動態 SQL 是 mybatis 的強大特性之一,也是它優於其他 ORM 框架的一個重要原因。mybatis 在對 sql 語句進行預編譯之前,會對 sql 進行動態解析,解析爲一個 BoundSql 對象,也是在此處對動態 SQL 進行處理的。在動態 SQL 解析階段, #{ } 和 ${ } 會有不同的表現
select * from user where name = #{name}; #{} 在動態解析的時候, 會解析成一個參數標記符。就是解析之後的語句是:
select * from user where name = ?;
那麼我們使用 ${}的時候
select * from user where name = '${name}'; ${}在動態解析的時候,會將我們傳入的參數當做String字符串填充到我們的語句中,就會變成下面的語句
select * from user where name = "dato";
預編譯之前的 SQL 語句已經不包含變量了,完全已經是常量數據了。相當於我們普通沒有變量的sql了。
綜上所得, ${ } 變量的替換階段是在動態 SQL 解析階段,而 #{ }變量的替換是在 DBMS 中。
這是 #{} 和 ${} 我們能看到的主要的區別,除此之外,還有以下區別:
- #方式能夠很大程度防止sql注入。
- $方式無法防止Sql注入。
- $方式一般用於傳入數據庫對象,例如傳入表名.
- 一般能用#的就別用$.
所以我們在使用mybatis的時候,儘量的使用#方式!!!這是大家要注意的地方