- #{}:相当于JDBC Sql语句中的占位符?(PreparedStatement),可以防止Sql注入
- ${}:相当于JDBC Sql语句中的连接符号+(Statement),不能防止Sql注入
区别2
- #{}:进行输入映射的时候,会对参数进行类型解析(如果是String类型,那么Sql语句会自动加上' ')
- ${}:进行输入映射的时候,将参数原样输出到SQL语句中 -->相当于replace替换相应位置的值
注:模糊搜索时,注意使用的是${},如果使用的是#{},会在两头加上'',此时sql语句变成:select * from user where username like '%'张三'%';这样不就报错了嘛
区别3
- #{}:如果进行简单类型(String、Date、8种基本类型的包装类)的输入映射时,#{}中参数名称可以任意
- ${}:如果进行简单类型(String、Date、8种基本类型的包装类)的输入映射时,#{}中参数名称必须是value