mybatis中的與的區別

mybatis中的#和$的區別?

1. #將傳入的資料都當成乙個字串，會對自動傳入的資料加乙個雙引號。如：order by #user_id#，如果傳入的值是111,那麼解析成sql時的值為order by "111", 如果傳入的值是id，則解析成的sql為order by "id".

2. $將傳入的資料直接顯示生成在sql中。如：order by $user_id$，如果傳入的值是111,那麼解析成sql時的值為order by user_id, 如果傳入的值是id，則解析成的sql為order by id.

3. #方式能夠很大程度防止sql注入。

4.$方式無法防止sql注入。

5.$方式一般用於傳入資料庫物件，例如傳入表名.

6.一般能用#的就別用$.

mybatis排序時使用order by 動態引數時需要注意，用$而不是#

字串替換

預設情況下，使用#{}格式的語法會導致mybatis建立預處理語句屬性並以它為背景設定安全的值（比如?）。這樣做很安全，很迅速也是首選做法，有時你只是想直接在sql語句中插入乙個不改變的字串。比如，像order by，你可以這樣來使用：

order by $

這裡mybatis不會修改或轉義字串。

重要：接受從使用者輸出的內容並提供給語句中不變的字串，這樣做是不安全的。這會導致潛在的sql注入攻擊，因此你不應該允許使用者輸入這些字段，或者通常自行轉義並檢查

有時候可能需要直接插入乙個不做任何修改的字串到sql語句中。這時候應該使用${}語法。

比如，動態sql中的欄位名，如：order by $

注意：當使用${}引數作為欄位名或表名時、需指定statementtype為「statement」，如：

select * from emp where name = $ order by $

對mybatis的#和$的自己的理解是：

#是安全的，可以防止注入的，且編譯採用prestatement的機制，效能比較高，是傳遞字串的

$是不安全的，是可以注入的，效能比較低，是經常用來拼接sql語句的，不建議用來做傳值的傳遞引數。

mybatis中的 與 的區別