#{}和${}的区别

.

在使用mybatis操作数据库的时候,我们在编写sql语言的时候,会遇到一个问题,就是在传参的时候,有两个符号#,$.这两个符号有什么异同呢,接下来,我就会带着大家对这个问题进行简单的探讨

本质区别:

#执行的是预编译SQL,$执行的是即时SQL.
#{} 使用的是预编译SQL, 通过 ? 占位的方式, 提前对SQL进行编译, 然后把参数填充到SQL语句中. #{} 会根据参数类型, 自动拼接引号 ‘’ .
${} 会直接进行字符替换, ⼀起对SQL进行编译. 如果参数为字符串, 需要加上引号 ‘’ ,因为它不会自动拼接引号 ‘’ .

使用注意事项

防止SQL注入

SQL注入：是通过操作输入的数据来修改事先定义好的SQL语句，以达到执行代码对服务器进行攻击的方法。
因此,${}有SQL注入的风险,我们应该尽量使用#{}

排序

在做sql排序的时候,desc和asc不能添加引号''',因此我们只能使用${}

like查询

like查询表达式:
‘%参数%’
如果参数使用#{},则会给参数自动添加一个'',查询会报错,因此我们不能使用#{},但是使用${}又可能会导致SQL注入,因此我们需要用其他的方法来解决问题
解决办法: 使用mysql 的内置函数 concat() 来处理，实现代码如下：

like concat('%',#{参数},'%')