sql中#与$有什么区别

101，那么完整的sql语句就是“role_id=‘101’”。这样就可以防止一些针对sql注入的攻击。而$符号则是直接将传入的参数替换到sql语句中，很容易被攻击者利用注入攻击。

任何一个涉及到数据库的应用，都至少涉及到一个最基本的技能：sql语句。在sql的基础语法中，我们会看到两种变量表达方式：#{}和$符号。那么，这两个符号有什么区别呢？

首先我们来看一下#{}符号。作为sql语句中的一个变量表示方式，#{}主要有两个作用。一方面，它可以用来传递参数。我们在写sql语句时，可以在需要传递参数的位置写上#{参数名}，之后在代码中传入对应的参数值即可。例如，我们可能会写出这样的sql语句：

SELECT * FROM user WHERE username=#{username} AND password=#{password}

在这个例子中，#{}主要作用是用来传递参数。在代码中，我们可以传入对应的用户名和密码值，这些值会被自动替换到sql语句中。

另一方面，#{}还可以有效地防止sql注入攻击。由于sql注入是一种非常危险的攻击手段，能够直接导致数据库被攻击者控制，所以防止sql注入攻击是非常关键的。#{}的作用就是将传入的参数放在字符串中进行解析，从而避免了类似"1 OR 1=1"这样的注入攻击。

而$符号则是直接将参数值替换到sql语句中。这种方式比#{}更加简单，但也更加危险。因为如果我们的输入值中含有一些恶意操作符，如单引号、双引号等，就很容易导致sql注入攻击的发生。

综上所述，#{}和$符号虽然都是sql语句中的参数传递方式，但它们有很大的区别。#{}既可以用来传递参数，又能够很大程度上防止sql注入攻击。而$符号则相对简单，但风险更高。因此，在写sql语句时，我们应该尽量使用#{}来传递参数，从而保障我们的数据安全。

扫码添加UTHEME微信为好友

· 分享WordPress相关技术文章，主题上新与优惠动态早知道。
· 微信端最大WordPress社群，限时免费入群。