#{}特点:
1.使用的JDBC的PrepareStatement对象,执行sql语句编译一次,效率高.
2.使用的JDBC的PrepareStatement对象,能便面sql注入,sql语句执行更安全.
3.#{}常常作为列值使用的,位于等号的右侧,#{}位置的值和数据类型有关,如果#{}中的参数是String,那么调用的其实是PrepareStatement中的setString()方法,并且给值加上引号.
${}特点:
1.${}在语法上和#{}几乎是一样的.(现在知道的,区别是在dao接口传一个简单类型参数的时候也需要@Param注解)
2.${}表示字符串连接,就是将sql语句的其他内容和{}中的内容连在一起,有sql注入风险,比如说在查询的时候,在查询时候串改入参加上true的条件,就会变成查询所有,不是我们本意要执行的语句了.
3.使用的JDBC的Statement对象,执行sql语句每次执行前都先编译,效率低.
4.${}数据是原样使用的,不会区分数据类型,原样不动的传到mapper中,像String这样就需要自己加上引号,否则就会报错.
5.一般常用作类名或者表名,在保证安全的前提下可以${}排序,比如name列排序的时候可以用select * from student order by ${name}这样的语句,而select * from student order by #{name}排序的时候不会生效,因为mybatis将字段name解析成字符串排序了.
|