MyBatis mapper文件中的变量引用方式#{}与${}的差别

#{}，和 ${}传参的区别如下：

使用#传入参数是，sql语句解析是会加上"",当成字符串来解析，这样相比于$的好处是比较明显对的吧，#{}传参能防止sql注入，如果你传入的参数为 单引号'，那么如果使用${},这种方式 那么是会报错的

另外一种场景是，如果要做动态的排序，比如 order by column，这个时候务必要用${}

select * from table order by 'name' ,这样是没用

目前来看，能用#就不要用$,

 

默认情况下,使用#{}语法,MyBatis会产生PreparedStatement语句中，并且安全的设置PreparedStatement参数，这个过程中MyBatis会进行必要的安全检查和转义。

示例1：

执行SQL：Select * from emp where name = #{employeeName}

参数：employeeName=>Smith

解析后执行的SQL：Select * from emp where name = ？

执行SQL：Select * from emp where name = ${employeeName}

参数：employeeName传入值为：Smith

解析后执行的SQL：Select * from emp where name =Smith

 

综上所述、${}方式会引发SQL注入的问题、同时也会影响SQL语句的预编译，所以从安全性和性能的角度出发，能使用#{}的情况下就不要使用${}

但是${}在什么情况下使用呢？

有时候可能需要直接插入一个不做任何修改的字符串到SQL语句中。这时候应该使用${}语法。

比如，动态SQL中的字段名，如：ORDER BY ${columnName}

注意：当使用${}参数作为字段名或表名时、需指定statementType为“STATEMENT”，如：

 

<select id="queryMetaList" resultType="Map" statementType="STATEMENT">Select * from emp where name = ${employeeName} ORDER BY ${columnName}</select>