前言

还记得当初从北京回来的时候，跟着倪文杰师姐做Java ITOO的一卡通模块，我亲姐贾梦洁带着我一块做，期间，我遇到了一个特别奇葩的问题，就死我要实现Mybatis的模糊查询，根据当时亲姐教给我方法 select * from table where contions like #{something}，就是解决不了问题，一点东西都查不出来，还报错。后来，我终于明白，世界上还有${}这个东西。只不过等到今天才去把它发出来，有点亡羊补牢的感觉，希望还能帮到一些像我一样的新手。

#{}实现的是向prepareStatement中的预处理语句中设置参数值，sql语句中#{}表示一个占位符即?。

[html] view plain copy  print?

1. <!–根据id查询用户信息 –>
2. <select id=”findUserById”parameterType=”int”resultType=”user”>
3. select * from user where id =#{id}
4. </select>

使用占位符#{}可以有效防止sql注入，在使用时不需要关心参数值的类型，mybatis会自动进行Java类型和jdbc类型的转换。#{}可以接收简单类型值或pojo属性值，如果parameterType传输单个简单类型值，#{}括号中可以是value或其它名称。说得再通俗一点，当我们使用#{}的时候，发出的sql中，#{}代表的内容会自动被加上“”，而${}是直接把东西取出来直接用举个例子：

id=”liweizhong”，#{id}输出后是”liweizhong”,而${value}输出是liweizhong

{}和#{}不同，通过{}可以将parameterType传入的内容拼接在sql中且不进行jdbc类型转换， 可以接收简单类型值或pojo属性值，如果parameterType传输单个简单类型值，{}括号中只能是value。使用不能防止sql注入，但是有时用{}会非常方便，如下的例子：

[html] view plain copy  print?

1. <!–根据名称模糊查询用户信息 –>
2. <select id=”selectUserByName”parameterType=”string”resultType=”user”>
3. select * from user whereusername like ’%${value}%’
4. </select>

如果本例子使用#{}则传入的字符串中必须有%号，而%是人为拼接在参数中，显然有点麻烦，如果采用${}在sql中拼接为%的方式则在调用mapper接口传递参数就方便很多。

如果使用占位符号则必须人为在传参数中加%

List<User> list =userMapper.selectUserByName(“%管理员%”);

如果使用${}原始符号则不用人为在参数中加%，直接在mapper配置文件里面接受这个参数就可以了，显得更加的方便，可是sql注入问题？

List<User>list = userMapper.selectUserByName(“管理员”);

再比如order by排序，如果将列名通过参数传入sql，根据传的列名进行排序，应该写为：

[sql] view plain copy  print?

1. ORDER BY ${columnName}

这样要执行的sql是：

[sql] view plain copy  print?

1. ORDER BY columnName

如果使用#{}将无法实现此功能，因为如果这样的话，执行的sql就变成了

[sql] view plain copy  print?

1. ORDER BY ”columnName”

那样，你可以试一下，会报错的，无效列名，sql语句报错：