2023.10.31
#{}:先编译sql语句,再给占位符传值,底层是PreparedStatement实现。可以防止sql注入,比较常用。
${}:先进行sql语句拼接,然后再编译sql语句,底层是Statement实现。存在sql注入现象。只有在需要进行sql语句关键字拼接的情况下才会用到。
考虑一个使用${}的场景:
假如需要使用mybatis实现批量删除的功能,有两种sql语句可以实现:
- delete from t_user where id = 1 or id = 2 or id = 3;
- delete from t_user where id in(1, 2, 3);
这里假设使用第二种,用in的方式。
此时接口的实现类会传来一个参数:ids,代表他想批量删除的一些id,假设传过来的ids为1, 2, 3。此时我们在xml配置文件中写sql语句的时候,如果使用#{}:
<delete id="deleteBatch">delete from t_car where id in(#{ids})
</delete>
那么底层会被编译成:
delete from t_user where id in('1,2,3'),显然不能完成需求。
如果使用${}:
<delete id="deleteBatch">delete from t_car where id in(${ids})
</delete>
底层会被翻译为:
delete from t_user where id in(1, 2, 3),如此便可以完成需求了。