在 MyBatis 中,#{} 和 ${} 是两种不同的参数注入方式,主要区别在于参数的预处理和安全性。
#{} :预处理参数#{} 用于预处理参数,会将参数值以预编译的形式传递给 SQL 引擎,防止 SQL 注入攻击。<!-- 示例:使用#{}预处理参数 -->
<select id="getUserById" resultType="User">
SELECT * FROM user WHERE id = #{userId}
</select>
在上面的例子中,#{userId} 会被 MyBatis 替换成 ?,然后在执行 SQL 语句时,将真正的参数值传递给 ? 进行预编译,这有助于防止 SQL 注入。
${}:直接拼接参数${} 用于直接拼接参数,将参数值直接替换到 SQL 语句中,不进行预处理。这样做可能会存在 SQL 注入的风险,因此要慎用。<!-- 示例:使用${}直接拼接参数 -->
<select id="getUserByName" resultType="User">
SELECT * FROM user WHERE name = '${userName}'
</select>
在上面的例子中,${userName} 会直接替换成实际的参数值,如果参数值包含恶意的 SQL 语句,可能导致 SQL 注入攻击。
#{} 用于预处理参数,安全性更高,可以防止 SQL 注入。${} 用于直接拼接参数,慎用,可能存在 SQL 注入的风险。public interface UserMapper {
// 使用#{}预处理参数
@Select("SELECT * FROM user WHERE id = #{userId}")
User getUserById(@Param("userId") int userId);
// 使用${}直接拼接参数
@Select("SELECT * FROM user WHERE name = '${userName}'")
User getUserByName(@Param("userName") String userName);
}
上述示例代码展示了在 MyBatis 中使用 #{} 和 ${} 的方式。通常建议使用 #{} 以提高安全性,防止 SQL 注入攻击。