Mybatis 的Mapper.xml語句中parameterType向SQL語句傳參有兩種方式：#{}和${}

我們經(jīng)常使用的是#{},一般解說是因為這種方式可以防止SQL注入，簡單的說#{}這種方式SQL語句是經(jīng)過預編譯的，它是把#{}中間的參數(shù)轉(zhuǎn)義成字符串，舉個例子：

select * from student where student_name = #{name}

預編譯后,會動態(tài)解析成一個參數(shù)標記符?：

select * from student where student_name = ?

而使用${}在動態(tài)解析時候，會傳入?yún)?shù)字符串

select * from student where student_name = ’lyrics’

總結(jié)：

#{} 這種取值是編譯好SQL語句再取值${} 這種是取值以后再去編譯SQL語句

#{}方式能夠很大程度防止sql注入。 $方式無法防止Sql注入。 $方式一般用于傳入數(shù)據(jù)庫對象，例如傳入表名. 一般能用#的就別用$.

舉個activiti工作流的例子：

select * from${prefix}ACT_HI_PROCINST where PROC_INST_ID_ =#{processInstanceId}

到此這篇關于詳解Mybatis中的 ${} 和 #{}區(qū)別與用法的文章就介紹到這了,更多相關mybatis ${} 和 #{}區(qū)別與用法內(nèi)容請搜索好吧啦網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關文章希望大家以后多多支持好吧啦網(wǎng)！