MyBatis中#号与美元符号的区别

#{变量名}可以进行预编译、类型匹配等操作，#{变量名}会转化为jdbc的类型。

select * from tablename where id = #{id}

假设id的值为12，其中如果数据库字段id为字符型，那么#{id}表示的就是'12'，如果id为整型，那么id就是12，并且MyBatis会将上面SQL语句转化为jdbc的select * from tablename where id=?，把?参数设置为id的值。

${变量名}不进行数据类型匹配，直接替换。

select * from tablename where id = ${id}

如果字段id为整型，sql语句就不会出错，但是如果字段id为字符型， 那么sql语句应该写成

select * from table where id = '${id}'

#方式能够很大程度防止sql注入。

$方式无法方式sql注入。

$方式一般用于传入数据库对象，例如传入表名。

尽量多用#方式，少用$方式。

mybatis框架作为一款半自动化的持久层框架，其sql语句都要我们自己来手动编写，这个时候当然需要防止sql注入。其实Mybatis的sql是一个具有“输入+输出”功能，类似于函数的结构，如下：

select id="getBlogById" resultType="Blog" parameterType=”int”>
select id,title,author,content 
from blog where id=#{id} 
</select>

这里，parameterType标示了输入的参数类型，resultType标示了输出的参数类型。回应上文，如果我们想防止sql注入，理所当然地要在输入参数上下功夫。上面代码中高亮部分即输入参数在sql中拼接的部分，传入参数后，打印出执行的sql语句，会看到sql是这样的：

select id,title,author,content from blog where id = ?

不管输入什么参数，打印出的sql都是这样的。这是因为mybatis启用了预编译功能，在sql执行前，会先将上面的sql发送给数据库进行编译，执行时，直接使用编译好的sql，替换占位符“？”就可以了。因为sql注入只能对编译过程起作用，所以这样的方式就很好地避免了sql注入的问题。

以上所述是小编给大家介绍的MyBatis中#号与美元符号的区别，希望对大家有所帮助，如果大家有任何疑问请给我留言，小编会及时回复大家的。在此也非常感谢大家对小牛知识库网站的支持！