MyBatis中#{}与${}的差别

MyBatis在默认情况下，使用#{}语法，MyBatis会产生PreparedStatement语句中，并且安全的设置PreparedStatement参数，这个过程中MyBatis会进行必要的安全检查和转义。

因此，在Mapper文件中使用#{}语法来获取Java代码传递过来的变量更为安全，也推荐你这么做。

实例

（1）#{}语法形式

执行SQL如下：

SELECT * FROM emp WHERE name = #{employeeName}

传递的参数：

employeeName => Smith

解析后执行的SQL：

SELECT * FROM emp WHERE name = ?

（2）${}语法形式

执行SQL如下：

SELECT * FROM emp WHERE name = ${employeeName}

传递的参数：

employeeName => Smith

解析后执行的SQL：

SELECT * FROM emp WHERE name = Smith

总结

${}方式会引发SQL注入的问题、同时也会影响SQL语句的预编译，所以从安全性和性能的角度出发，能使用#{}的情况下就不要使用${}。

mybatis广告位

${}在什么情况下使用呢？

有时候可能需要直接插入一个不做任何修改的字符串到SQL语句中。这时候应该使用${}语法。如动态SQL中的字段名，代码如下：

SELECT * FROM emp WHERE name = ${employeeName} ORDER BY ${columnName}

注意事项

当使用${}参数作为字段名或表名时、需指定statementType为“STATEMENT”，如：

<select id="queryMetaList" resultType="Map" statementType="STATEMENT">
    SELECT * FROM emp WHERE name = ${employeeName} ORDER BY ${columnName}
</select>

点击学习 MyBatis 教程，了解更多的 MyBatis 知识！