Mybatis 记录

1. #{}, ${}两种传参数方式的区别
1） ${} 会将传入的参数完全拼接到sql语句中，也就是相当于一个拼接符号。

也就是，最后的处理方式就相当于 

String sql = select * from user where id=${value}....

mybatis会将 ${value} 完全替换为参数 value 的值  相当于replace("${value}", value)的过程。

实际上mybatis 是先将sql转成char数组

然后截取 "${"前头的部分放入到容器，替换  以"${"开头 以 "}"结尾的内容。所以说它的作用相当于拼接符号。拼接后直接作为sql语句的一部分，所以如 果参数是可执行代码，sql是会直接执行的。这就是为什么它会导致sql注入。


2） #{} 是一个占位符， mybatis最后会将这个占位符，替换成？，

最后才进行prepareStatement的相应位置的？的替换，也就是  state.setString（序号，值），setInt（序号，值）....
相关推荐
