MyBatis中的${}和#{}区别

在MyBatis 中，${}和#{}是用于传递参数到SQL语句中的两种不同方式，它们的主要区别在于处理方式和用途：

1. #{}(预处理参数)

• #{}是参数占位符，MyBatis会将其替换为预处理语句(PreparedStatement)的参数占位符?。
• 使用 #{}时，MyBatis会自动为SQL参数提供适当的转义，防止SQL注入攻击。
• #{}通常用于传入参数值，如字符串、数字等。
• 当SQL中需要使用参数的值时，应该使用 #{}。

使用案例：

<select id="selectUserById" resultType="User">
    SELECT * FROM users WHERE id = #{id}
</select>

在这个例子中，#{id} 会被替换为?，并且实际的id值会被安全地传递给SQL语句。

2. ${}(字符串替换)

• ${} 是文本替换，MyBatis会将其替换为实际的字符串值。
• 使用${}时，传入的字符串将直接拼接到SQL语句中，没有预处理或转义，因此有 SQL 注入的风险。
• ${} 通常用于传入SQL片段，如表名、列名、数据库函数等。
• 当需要动态构建SQL语句的一部分时，可以使用${}。

使用案例：

<select id="selectUsersByName" resultType="User">
    SELECT * FROM users WHERE name like '%${searchName}%'
</select>

在这个例子中，${searchName}会被替换为实际的搜索名称，并且直接拼接到SQL语句中。注意，这种方式可能会导致SQL注入，因此在使用时需要非常小心。

3.安全提示

推荐尽可能使用#{}，因为它提供了预处理语句的保护，可以防止SQL注入攻击。

只有在你完全信任传入的值，或者需要动态构建SQL片段(如表名、列名)时，才使用${}。

4.性能提示

#{}使用预处理语句，可能会稍微影响性能，因为每次执行 SQL 时都需要重新编译。

${}直接拼接字符串，性能上可能稍好一些，但牺牲了安全性。

在实际开发中，应该根据实际情况和安全考虑来选择合适的参数传递方式。