标签:语法 字符串 statement 动态 bat rom 修改 插入 select
默认情况下,使用#{}语法,MyBatis会产生PreparedStatement语句中,并且安全的设置PreparedStatement参数,这个过程中MyBatis会进行必要的安全检查和转义。 示例1: 执行SQL:Select * from emp where name = #{employeeName} 参数:employeeName=>Smith 解析后执行的SQL:Select * from emp where name = ? 执行SQL:Select * from emp where name = ${employeeName} 参数:employeeName传入值为:Smith 解析后执行的SQL:Select * from emp where name =Smith 综上所述、${}方式会引发SQL注入的问题、同时也会影响SQL语句的预编译,所以从安全性和性能的角度出发,能使用#{}的情况下就不要使用${} 但是${}在什么情况下使用呢? 有时候可能需要直接插入一个不做任何修改的字符串到SQL语句中。这时候应该使用${}语法。 比如,动态SQL中的字段名,如:ORDER BY ${columnName} 注意:当使用${}参数作为字段名或表名时、需指定statementType为“STATEMENT”,如:标签:语法 字符串 statement 动态 bat rom 修改 插入 select
原文地址:http://www.cnblogs.com/liweizai/p/6832248.html