【数据库框架】mybatis使用order by 动态参数及#{}和${}的区别

简单说

#{}是经过预编译的,是安全的

${}是未经过预编译的,仅仅是取变量的值,是非安全的,存在sql注入.

在mapper文件中如果使用

ORDER BY #{columnName}

会导致最后sql语句 参数 多加 引号，例如

select * from test order by ‘update_time‘;

要这样使用

ORDER BY ${columnName}

但是注意这会导致潜在的SQL注入攻击，因此你需要自行转义并检查

原文：https://www.cnblogs.com/Y-S-X/p/12110692.html