mybatis中#{}与${}区别

mybatis 中使用 sqlMap 进行 sql 查询时，经常需要动态传递参数，例如sql 如下：

select * from student where uid=#{uid} AND student_name='${studentName}'

在动态 SQL 解析阶段， #{ } 和 ${ } 会有不同的表现：

#{ } 解析为一个 JDBC 预编译语句（prepared statement）的参数标记符占位符 ？。

上面的例子就被解析为

...... uid=? 

${ } 仅仅为一个纯碎的 string 替换，在mybatis的动态 SQL 解析阶段将会进行变量替换。比如：传入的studentName参数是“张三”

...... student_name='张三'

最后解析完成的完整语句就是

select * from student where uid= ? AND student_name='张三'

然后把解析好的语句在通过JDBC执行。

所以因为在${ } 在预编译之前已经被变量替换了，这会存在 sql 注入问题。比如：传入的studentName参数是“1' OR '1'='1”

在mybatis中解析完成后变成了

select * from student where uid= ? AND student_name='1' OR '1'='1'

这样就查询出所有的数据了。