【数据库】mybatis中#{}与${}的区别

版权声明：本文为博主原创文章，未经博主允许不得转载。 https://blog.csdn.net/m18633778874/article/details/89435104

前言

     小编在系统学习mybatis时，里面提到了#{}与${}两个概念，一个有担当的网站MyBatis中文官网http://www.mybatis.cn/archives/70.html，给出了解答，主要内容如下：

两者区别  

 #{}是预编译处理，${}是字符串替换

（1）mybatis在处理#{}时，会将sql中的#{}替换为?号，调用PreparedStatement的set方法来赋值。

（2）mybatis在处理${}时，就是把${}替换成变量的值。

（3）使用#{}可以有效的防止SQL注入，提高系统安全性。原因在于：预编译机制。预编译完成之后，SQL的结构已经固定，即便用户输入非法参数，也不会对SQL的结构产生影响，从而避免了潜在的安全风险。

（4）预编译是提前对SQL语句进行预编译，而其后注入的参数将不会再进行SQL编译。我们知道，SQL注入是发生在编译的过程中，因为恶意注入了某些特殊字符，最后被编译成了恶意的执行操作。而预编译机制则可以很好的防止SQL注入。

小结

    通过这个解释说法，自己有些豁然开朗，加上之前的实践，对于这些说法有一定的感触。

                                                                           感谢您的访问！