一般說來,二者的區別可總結為以下6點:
(1)#將傳入的資料都當成乙個字串,會對自動傳入的資料加乙個雙引號。如:order by #user_id#,如果傳入的值是111,那麼解析成sql時的值為order by "111",如果傳入的值是id,則解析成的sql為order by "id"。
(2)$將傳入的資料直接顯示生成在sql中。如:order by $user_id$,如果傳入的值是111,那麼解析成sql時的值為order by user_id, 如果傳入的值是id,則解析成的sql為order by id。
(3)#方式在很大程度上能夠防止sql注入。
(4)$方式無法防止sql注入。
(5)$方式一般用於傳入資料庫物件,例如傳入表名。
(6)一般能用#的就別用$。
ps:在使用mybatis中還遇到的用法,在該符號內的語句,將不會被當成字串來處理,而是直接當成sql語句,比如要執行乙個儲存過程。
例項講解:
在下面的語句中,如果 name 的值為 zhangsan,則兩種方式無任何區別:
select * from user where name = #;select * from user where name = $;select * from user where name = 'zhangsan';select * from user where name = ?;而 ${} 則只是簡單的字串替換
,在動態解析階段,該 sql 語句會被解析成
select * from user where name = 'zhangsan';那麼,在使用過程中我們應該使用哪種方式呢?
答案是:優先使用 #{}。因為 ${} 會導致 sql 注入的問題。
看下面的例子:
select * from $ where name = #user; delete user; --
則動態解析之後 sql 如下:
select * from user; delete user; -- where name = ?;但是表名用引數傳遞進來的時候,只能使用 ${} 。這也提醒我們在這種用法中要小心sql注入的問題。
c 中 和 有什麼區別
他們不同點在於 相當乙個開關語句,就是說如果 前面值為false那麼他就不繼續執行後面的表示式 而 不管前面的值為什麼,總是執行其後面的語句。可以是取位址運算子也可以是引用符,這就看你在什麼情曠下用了 而 是邏輯與的意思如if a 78 b 77 它不過是個比較運算子而已。是boolean的邏輯運算...
matlab 中 和 有什麼區別
和 的區別 在進行數之間的運算時 和 是沒有區別的,都是表示普通的乘法運算。例 m 2,n 3,m.n 6,m n 6。在進行矩陣之間的運算時 和 的意義就有所不同了。假設a,b表示兩個矩陣,a b表示矩陣a與矩陣b進行矩陣相乘,a.b表示矩陣a中的元素與矩陣b中的元素按位置依次相乘,得到的結果將作...
mybatis中 跟 有什麼區別
動態 sql 是 mybatis 的強大特性之一,mybatis 在對 sql 語句預編譯前,會對 sql 進行動態解析,解析為乙個 boundsql 物件,在動態 sql 解析階段,和 的不同 可以防止sql注入.先把sql中使用 的地方變成?佔位符,再設定引數值 insert into stud...