sql语句中#{}和${}的区别

进行参数绑定时,我们常使用 #{},因为它可以防止SQL注入

#{} 是预编译处理,它会先将SQL中的#{}替换为?号编译,然后再取值

原始SQL:select * from user where user_name = #{name}  预编译后:select * from user where user_name = ? 然后调用set方法来赋值‘李四’ 

将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by “111”, 如果传入的值是id,则解析成的sql为order by “id”。

${} 会先去变量值,再去编译SQL语句

原始SQL:  select * from user where user_name = #{name} 编译后SQL:select * from user where user_name = ‘李四’ 这样很容易会遭到恶意SQL的拼接来非法操作数据 

${}将传入的数据直接显示生成在sql中。如:order by userid,如果传入的值是111,那么解析成sql时的值为order by user_id, 如果传入的值是id,则解析成的sql为order by id。

#{} 能防止SQL注入的原因:

因为采用预编译机制,预编译完成后,SQL的结构已经固定,
这时候,即使用户输入非法的参数,也不会对SQL语句的整体结构造成影响,从而避免了SQL注入的危险