讲解#大括号和$大括号

Mybatis的Mapper映射文件中，有两种方式可以引用形参变量进行取值: #{} 和 ${}。本文将简述两种方式的区别和适用场景

取值引用

#{} 方式

#{}: 解析为SQL时，会将形参变量的值取出，并自动给其添加引号。 例如：当实参username=”Amy”时，传入下Mapper映射文件后

......
    <select id="findByName" parameterType="String" resultMap="studentResultMap">
        SELECT * FROM user WHERE username=#{value}
    </select>
    ....

SQL将解析为：

SELECT * FROM user WHERE username="Amy"

${} 方式

${}: 解析为SQL时，将形参变量的值直接取出，直接拼接显示在SQL中

例如：当实参username=”Amy”时，传入下Mapper映射文件后

......
    <select id="findByName" parameterType="String" resultMap="studentResultMap">
        SELECT * FROM user WHERE username=${value}
    </select>
    ....

SQL将解析如下：

SELECT * FROM user WHERE username=Amy

显而该SQL无法正常执行，故需要在mppaer映射文件中的${value}前后手动添加引号，如下所示:

......
    <select id="findByName" parameterType="String" resultMap="studentResultMap">
        SELECT * FROM user WHERE username='${value}'
    </select>
    ....

SQL将解析为:

SELECT * FROM user WHERE username='Amy'

SQL 注入

${}方式是将形参和SQL语句直接拼接形成完整的SQL命令后，再进行编译，所以可以通过精心设计的形参变量的值，来改变原SQL语句的使用意图从而产生安全隐患，即为SQL注入攻击。现举例说明：

现有Mapper映射文件如下：

......
    <select id="findByName" parameterType="String" resultMap="studentResultMap">
        SELECT * FROM user WHERE username='${value}'
    </select>
    ....

当 username = “‘ OR 1=1 OR ‘“ 传入后，${}将变量内容直接和SQL语句进行拼接，结果如下:

SELECT * FROM user WHERE username='' OR 1=1 OR '';

显而易见，上述语句将把整个数据库内容直接暴露出来了

#{}方式则是先用占位符代替参数将SQL语句先进行预编译，然后再将参数中的内容替换进来。由于SQL语句已经被预编译过，其SQL意图将无法通过非法的参数内容实现更改，其参数中的内容，无法变为SQL命令的一部分。故，#{}可以防止SQL注入而${}却不行

适用场景

#{} 和 ${} 均适用场景

由于SQL注入的原因，${}和#{}在都可以使用的场景下，很明显推荐使用#{}。这里除了上文的WHERE语句例子，再介绍一个LIKE模糊查询的场景(username = “Amy”):

<select id="findAddByName" parameterType="String" resultMap="studentResultMap">
        SELECT * FROM user WHERE username LIKE '%${value}%'
    </select>

该SQL解析为：

SELECT * FROM user WHERE username LIKE '%Amy%';

上述通过${}虽然可以实现对包含”Amy”对模糊查询，但是不安全，可以改用#{}，如下所示：

<select id="findAddByName" parameterType="String" resultMap="studentResultMap">
        SELECT * FROM USER WHERE username LIKE CONCAT('%', #{username}, '%')
    </select>

该SQL解析为下文所示，其效果和上文方式一致

SELECT * FROM USER WHERE username LIKE CONCAT('%', 'Amy','%');

只能使用${}的场景

由于#{}会给参数内容自动加上引号，会在有些需要表示字段名、表名的场景下，SQL将无法正常执行。现举一例说明：

期望查询结果按sex字段升序排列，参数String orderCol = “sex”,mapper映射文件使用#{}：

<select id="findAddByName3" parameterType="String" resultMap="studentResultMap">
        SELECT * FROM USER WHERE username LIKE '%Am%' ORDER BY #{value} ASC
    </select>

则SQL解析及执行结果如下所示，很明显 ORDER 子句的字段名错误的被加上了引号，致使查询结果没有按期排序输出

SELECT * FROM USER WHERE username LIKE '%Am%' ORDER BY 'sex' ASC;

这时，现改为${}测试效果：

<select id="findAddByName3" parameterType="String" resultMap="studentResultMap">
        SELECT * FROM USER WHERE username LIKE '%Am%' ORDER BY ${value} ASC
    </select>

则SQL解析及执行结果如下所示：

SELECT * FROM USER WHERE username LIKE '%Am%' ORDER BY sex ASC;

补充

${}是Spring框架中使用的占位符，也被称为属性占位符。它用于在配置文件中引用外部属性或配置项的值。例如，可以在Spring配置文件中使用${database.url}来引用数据库连接的URL。这个占位符会在运行时被解析，并替换为实际的属性值。${}占位符通常在Spring的配置文件（如application.properties）中使用。
以及：

还有传map的时候key必须用${}