如题所述
#{}占位符:占位使用#{}意味着使用的预编译的语句,即在使用jdbc时的preparedStatement,sql语句中如果存在参数则会使用?作占位符,我们知道这种方式可以防止sql注入,并且在使用#{}时形成的sql语句,已经带有引号,例,select * from table1 where id=#{id} 在调用这个语句时我们可以通过后台看到打印出的sql为:select * from table1 where id=‘2’ 加入传的值为2.也就是说在组成sql语句的时候把参数默认为字符串。如果传入的是基本类型,那么#{}中的变量名称可以随意写如果传入的参数是pojo类型,那么#{}中的变量名称必须是pojo中的属性.属性.属性?${}拼接符:字符串原样拼接如果传入的是基本类型,那么${}中的变量名必须是value如果传入的参数是pojo类型,那么${}中的变量名称必须是pojo中的属性.属性.属性?注意:使用拼接符有可能造成sql注入使用${}时的sql不会当做字符串处理,是什么就是什么,如上边的语句:select * from table1 where id=${id} 在调用这个语句时控制台打印的为:select * from table1 where id=2 ,假设传的参数值为2从上边的介绍可以看出这两种方式的区别,我们最好是能用#{}则用它,因为它可以防止sql注入,且是预编译的,在需要原样输出时才使用${},如,select * from ${tableName} order by ${id} 这里需要传入表名和按照哪个列进行排序 ,加入传入table1、id 则语句为:select * from table1 order by id如果是使用#{} 则变成了select * from ‘table1’ order by ‘id’ 我们知道这样就不对了。另,在使用以下的配置时,必须使用#{}
温馨提示:答案为网友推荐,仅供参考
