在 MyBatis 的 SQL 映射文件(如 .xml 文件)中,# 和 $ 用于不同的占位符语法,它们有以下区别:
#{} 占位符:
预编译处理:#{} 中的内容会被视为一个 JDBC 预编译语句的参数。MyBatis 会将其替换为 ?,并使用 PreparedStatement 来设置参数值。
防止 SQL 注入:由于使用了预编译语句,可以有效防止 SQL 注入攻击。
类型安全:MyBatis 会根据 Java 类型自动处理数据类型的转换。
示例:
XML
<select id="selectUsers" parameterType="int" resultType="hashmap">
SELECT * FROM users WHERE id = #{userId}
</select>${} 占位符:
直接替换:${} 中的内容会被直接替换为变量的值,不会进行预编译处理。这相当于将变量值直接拼接到 SQL 字符串中。
存在 SQL 注入风险:由于是直接替换,如果输入未经严格校验,可能会导致 SQL 注入攻击。
灵活性:适用于一些动态 SQL 场景,例如表名或列名的动态替换。
示例:
XML
<select id="selectUsersByTableName" resultType="hashmap">
SELECT * FROM ${tableName}
</select>