在MyBatis中,#{}和${}都是用来表示参数的占位符,但它们之间有一些差异:
- #{}是用来表示一个参数占位符,MyBatis会将#{}替换成一个问号(?),并通过PreparedStatement设置参数来防止SQL注入。#{}可以防止SQL注入攻击,因为参数值会被自动转义。
示例:select * from user where id = #{userId}
- ${}是用来表示直接替换参数的占位符,MyBatis会将${}替换成参数的实际值,而不是一个问号(?)。使用${}可能会导致SQL注入攻击,因为参数值不会被转义。
示例:select * from user where name = '${userName}'
因此,为了避免SQL注入攻击,推荐使用#{}来表示参数占位符。
