关于 Mybatis的 $ 和 # , 你真的知道他们的细节吗 ?

文章预览

（点击 上方公众号 ，可快速关注） 来源：岑凯伦（微信公号 - 凯伦说，ID：KailunTalk）， my.oschina.net/kailuncen/blog/1235568 如有好文章投稿，请点击 → 这里了解详情 前言 在JDBC中，主要使用的是两种语句，一种是支持参数化和预编译的PrepareStatement，能够支持原生的Sql，也支持设置占位符的方式，参数化输入的参数，防止Sql注入，一种是支持原生Sql的Statement，有Sql注入的风险。 在使用Mybatis进行开发过程中，隐藏了底层具体使用哪一种语句的细节，我们通过使用#和$告诉Mybatis，我们实际上进行的是怎么样的操作，需要对语句进行参数化还是说直接保持原生状态就好。 今天我们主要看一下使用两种符号使用时系统应对Sql注入的表现和Mybatis在内部是如何对他们处理的源 ………………………………