默認情況下,使用#{}語法,MyBatis會產生PreparedStatement語句中,並且安全的設置PreparedStatement參數,這個過程中MyBatis會進行必要的安全檢查和轉義。
示例1:
執行SQL:Select * from emp where name = #{employeeName}
參數:employeeName=>Smith
解析後執行的SQL:Select * from emp where name = ?
執行SQL:Select * from emp where name = ${employeeName}
參數:employeeName傳入值爲:Smith
解析後執行的SQL:Select * from emp where name =Smith
綜上所述、${}方式會引發SQL注入的問題、同時也會影響SQL語句的預編譯,所以從安全性和性能的角度出發,能使用#{}的情況下就不要使用${}
但是${}在什麼情況下使用呢?
有時候可能需要直接插入一個不做任何修改的字符串到SQL語句中。這時候應該使用${}語法。
比如,動態SQL中的字段名,如:ORDER BY ${columnName}
注意:當使用${}參數作爲字段名或表名時、需指定statementType爲“STATEMENT”,如:
- <select id="queryMetaList" resultType="Map" statementType="STATEMENT">Select * from emp where name = ${employeeName} ORDER BY ${columnName}</select>