以前印象里#{}可以防止注入,所以一直都是使用#{}。直到最近踩了坑,才去又理了一遍#{}和${}的区别。
事情是这样,我在xml中写sql的时候 查询列的是不确定的 要由条件传入。 我当时写的sql如下:
SELECT #{XXXX} AS NUM FROM TABLE1。
但是我发现查询结果是NUM这个字段的值一直是XXX。
查了下#{}和${}的区别才知道。 #{}会把里面的数据直接转成字符串,所以我的SQL在被mybatis解析出来后就是 SELECT "XXX" AS NUM,这会直接将XXX值赋给NUM,所以导致了我查询结果不对。
而${}并不会将里面的数据转成字符串,还是要 SELECT XXX列。所以只用将#{}替换成${}就好了。
不过也正是因为 #{}多了一步转成字符串的步骤,才能防止SQL注入。