Mybatis中#{}和${}有什么区别

Mybatis中#{}和${}有什么区别？针对这个问题，今天小编总结这篇有关#{}和${}之间的区别的文章，希望能帮助更多想解决这个问题的朋友找到更加简单易行的办法。

先来看一下#{},在mybatis中：
<mapper namespace="cn.xh.dao">
<select id="getCount" parameterType="String"   resultType="int">
select count() from user where age = #{value}
</select>
</mapper>
#{value}会被传入的内容替换，替换的时候将传入的内容当成字符串，加上引号：例如传入的内容为23，sql语句会变为select count() from user where age= ‘23’
这里是运行日志：

从日志可以看出实际上是相当于执行了这段代码：
String sql = "select count(*) from user where age = ?";
preparedStatement = connection.prepareStatement(sql);
preparedStatement.setString(1, “23”);
通过调用preparedStatement的setString方法传入参数可以防止sql注入，安全性更高。如果只传入一个参数该参数的名字可以随意取。

再来看一下${}:

<mapper namespace="cn.xh.dao">
<select id="getCount" parameterType="String"   resultType="int">
select count() from ${value}
</select>
</mapper>
${value}会被传入的内容替换，注意此处是直接替换，不会加上引号。例如传入的内容为 user 则sql语句变为:select count() from user
看运行日志：

从运行日志可以看出这里是直接拼接字符串。
总结一下#{}和${}之间的区别：
#{}：传入的内容会被作为字符串，被加上引号，以预编译的方式传入，安全性高，可以防止sql注入。
${}:传入的内容会直接拼接，不会加上引号，可能存在sql注入的安全隐患。
所以能用#{}的地方就用#{},但是诸如传入表名，需要排序的时候order by 字段 的 “字段名”的时候可以用${}.

看完上述内容，你们对Mybatis中#{}和${}的区别大概了解了吗？如果想了解更多相关文章内容，欢迎关注亿速云行业资讯频道，感谢各位的阅读！