零、引言
使用 #{name} 的时候,MyBatis会进行预编译,防止SQL注入的问题(官方话)
用一个通俗一点的例子来解释,比如有如下MyBatis的SQL语句
一、最正确的用法
<select id="find">
... where name = #{name} order by ${columnName}
</select>
... where name = #{name} order by ${columnName}
</select>
xxxxxxxxxx
3
1
<select id="find">
2
... where name = #{name} order by ${columnName}
3
</select>
说明:如果name的类型为String值为LCF,columnName的类型为String值为 id
上述SQL翻译结果是:
... where name = 'LCF' order by id
xxxxxxxxxx
1
1
... where name = 'LCF' order by id
1. #{name} 会根据传入数据的类型进行预编译,所以在生成SQL的时候自动加上了单引号。
2.${columnName} 会直接将结果替换进来。
二、反例说明
<select id="find">
... where name = ${name} order by #{columnName}
</select>
... where name = ${name} order by #{columnName}
</select>
xxxxxxxxxx
3
1
<select id="find">
2
... where name = ${name} order by #{columnName}
3
</select>
说明:基本类型和值如上所述,该SQL翻译出来的结果是什么?
... where name = LCF order by 'id'
xxxxxxxxxx
1
1
... where name = LCF order by 'id'
仔细看LCF是没有单引号引起来的,反倒是 id 被单引号括起来了。
三、结论
#会进行预编译,防止SQL注入。
$会被直接进行字符替换,容易造成SQL注入。
#####################LCF###############2017-06-21#####################