Java 开发：MyBatis 中 #{} 与 ${} 的区别及安全灵活之选

在MyBatis的动态SQL中，#{}和${}都可以用于参数化查询，但它们的使用场景和方式有所不同。 1. #{}：这种方式主要用于预编译的SQL语句中，它会被MyBatis解析为参数，并且可以防止SQL注入攻击。例如： ```sql SELECT * FROM user WHERE id = #{id} ``` 在上述SQL语句中，#{id}会被MyBatis解析为参数，然后在执行SQL语句时，会将参数值替换为实际的值。 2. ${}：这种方式主要用于字符串拼接的SQL语句中，它不会被MyBatis解析为参数，所以不能防止SQL注入攻击。例如： ```sql SELECT * FROM user WHERE id = '${id}' ``` 在上述SQL语句中，${id}会被直接拼接到SQL语句中，如果id参数中包含恶意的SQL代码，那么就会发生SQL注入攻击。 #{}方式更安全，而${}方式更灵活，可以根据实际需求选择使用。 ######[AI小红书种草文 | 229点数解答 | 2023-11-07 22:24:15]