MyBatis中${}和#{}的区别

//${} 是字符串直接替换；${} 存在SQL注入的问题；

//#{} 是预编译处理；而 #{} 不存在SQL注入问题；

一，预编译处理与字符串直接替换

预编译处理：

????????预编辑处理：是指 MyBatis 在处理 #{} 时，就是把 #{} 替换成了 ？号，使用 PreparedStatement 的 set 方法来赋值。也就是说 #{} 会把 {} 内的整体看成 value ，最后再给 value 加上单引号，重点强调引号内部是一个整体（ #{} 不会发生 SQL 注入的根本原因）。

字符串直接替换

????????是指 MyBatis 在处理 ${} 时，会把 ${} 替换成变量的值（不会加引号处理）。

模糊匹配：

????????${} 可以直接进行模糊查询（但不建议，存在 SQL 注入问题）；

????????#{} 不可以直接进行模糊查询，但可以通过 mysql 内置函数 concat() 实现模糊查询(不存在 SQL 注入问题)；

解释：

当你想输入以下代码时

select * from user where username = '%abc%';

使用#{}会进行预编译，自动加引号处理，于是就变成了

select * from user where username = '%' abc '%';

而用${}时，是直接替换，使用以下代码即可

select * from userinfo where username like '%${key}%'

使用#{}时可以使用concat（）方法连接

 select * from userinfo where username like concat('%', '${key}', '%')

排序查询

使用 ${} 可以实现排序查询，而 #{} 不可以实现排序查询，因为使用 #{} 查询时，如果传递的值为 String 就会加单引号，导致 sql 错误。

如果你想输入以下代码：

select * from userinfo order by id desc；

使用#{}会有以下效果：

select * from userinfo order by id ‘desc’

结论：除了模糊匹配，杜绝使用${}