#{}是预编译处理,$ {}是字符串替换(当做占位符来用)。
mybatis在处理#{}时,会将sql中的#{}替换为?号,调用PreparedStatement的set方法来赋值;
mybatis在处理 $ {} 时,就是把 ${} 替换成变量的值。
使用 #{} 可以有效的防止SQL注入,提高系统安全性。SQL注入是发生在编译的过程中,因为恶意注入了某些特殊字符,最后被编译成了恶意的执行操作。而预编译机制则可以很好的防止SQL注入。
${} 与 #{} 的区别
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章