MyBatis中 #{} 与 ${} 的区别

原创 于 2025-12-15 07:06:14 发布 · 449 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#数据库 #sql

MyBatis中 #{}${} 的区别

一、根本区别:预编译 vs 字符串拼接

这是两者最本质的区别,决定了它们在安全性、性能和行为上的所有不同。

特性#{}(井号占位符)${}(美元占位符)
处理机制预编译(PreparedStatement)字符串拼接/直接替换(Statement)
SQL构建方式SELECT * FROM user WHERE id = ? (先生成带?的SQL模板,再传值)SELECT * FROM user WHERE id = 1 (直接将值拼入SQL字符串)
参数处理将传入的参数安全地设置到预编译语句中,会进行类型处理(如字符串自动加引号)。将传入的参数原样替换到SQL字符串中,不做任何处理。
类比就像填空题,题目(SQL结构)固定,你只需在空白处(?)填上安全的值。就像作文题,你需要自己组织完整的语句(SQL),容易写错或引入危险内容。
二、核心差异详解

1. 安全性(最关键的区别)

  • #{}:能有效防止SQL注入。

    • 因为使用了JDBC的 PreparedStatement,参数值在预编译后传入,数据库会将其视为数据而非SQL指令的一部分。即使用户传入 1 OR 1=1,也会被当作一个完整的字符串值,而不是可执行的SQL。

    • 示例:

      -- 传入参数:id = "1 OR 1=1"
SELECT * FROM user WHERE id = #{id}
-- 实际执行(安全):
SELECT * FROM user WHERE id = '1 OR 1=1'

  • ${}:无法防止SQL注入。

    • 因为它直接进行字符串替换,如果用户传入恶意参数,该参数会成为SQL语句的一部分并被数据库执行。

    • 示例:

      -- 传入参数:id = "1 OR 1=1"
SELECT * FROM user WHERE id = ${id}
-- 实际执行(危险!):
SELECT * FROM user WHERE id = 1 OR 1=1
-- 这将返回所有用户数据!

2. 性能

  • #{}:通常性能更优。

    • 预编译语句(PreparedStatement)可以被数据库缓存和重用。对于同构SQL(结构相同,参数不同),数据库服务器只需编译一次,后续执行效率高。

  • ${}:性能相对较低。

    • 每次都会生成一条全新的SQL语句,数据库需要重新解析和编译

3. 参数值的处理

  • #{}:自动处理类型和引号。

    • 如果传入的是字符串,MyBatis会自动加上单引号(');如果传入数字,则不加。你无需手动处理引号。

    <!-- 传入 name = '张三' -->
SELECT * FROM user WHERE name = #{name}
<!-- 转换为:SELECT * FROM user WHERE name = '张三' -->

  • ${}:原样替换,需手动处理引号。

    • 替换是“愚蠢”的字符串替换。如果值是字符串,你必须在参数值中或SQL片段中自行添加引号,否则会导致语法错误。

    <!-- 错误:如果name是字符串,替换后SQL语法错误 -->
SELECT * FROM user WHERE name = ${name}
<!-- 正确:需要在值中或外围加上引号 -->
SELECT * FROM user WHERE name = '${name}'
<!-- 或者传递的参数值本身包含引号: `"'张三'"` -->

4. 适用场景

  • #{}:适用于 WHERE 条件、SET 子句、VALUES 子句等几乎所有传递参数值的场景。应作为默认首选。

  • ${}:适用于动态传入 SQL片段**,如:

    • 表名SELECT * FROM ${tableName}

    • 列名ORDER BY ${columnName}

    • 动态排序字段ORDER BY ${orderByColumn} ${orderByDirection}

    • 数据库函数/特殊SQL关键字SELECT ${columns} FROM ...

    • 注意:使用 ${} 时,必须确保参数值绝对安全(如来自内部枚举、白名单校验),绝不能直接接收用户输入,否则风险极高。

hgz0710
关注
浅谈Mybatis #$区别以及原理
08-18
浅谈Mybatis #$区别以及原理 Mybatis是一款流行的持久层框架,它提供了两个占位符:#$,它们均用于参数化SQL语句,但是它们的作用和原理却有所不同,本文将详细介绍这两者的区别和原理。 #$区别 在...
Mybatis#{}和${}传参的区别#$区别小结
09-02
MyBatis框架中,`#{}`和`${}`是两种不同的参数占位符,它们在处理传参时有着显著的差异,同时也关联到`#`和`$`的区别。理解这些差异对于编写安全且高效的SQL查询至关重要。 首先,`#{}`是MyBatis的预编译参数占位...
mybatis#$区别
weixin_49114503的博客
04-11 945
MyBatis中使用parameterType向SQL语句传参,parameterType支持的类型可以是基本类型int,String,HashMap和java自定义类型。#会进行预编译,安全,通过#{}传入的参数 mybatis会认为是一个字符串,自动加上引号“”$ 不会进行预编译,通过$ 传入的参数会直接取出来使用,可能会产生sql注入风险,而${}是未经过预编译的,仅仅是取变量的值,是非安全的,存在SQL注入。简单说#{}是经过预编译的,是安全的。,其他的都建议用#{}传入。
MyBatis#$区别使用场景
m0_73154147的博客
08-18 691
MyBatis#{}和${}的主要区别:1)#{}是预编译参数占位符,自动类型转换且防SQL注入;2)${}是字符串拼接,直接替换SQL文本,存在注入风险。使用建议:条件值用#{}确保安全,动态表名/列名等场景才用${},但必须严格校验输入参数。核心原则是优先使用#{},仅在必要场景谨慎使用${}。
MyBatis#$符号区别
weixin_41939500的博客
07-05 444
符号时,参数值会直接拼接到SQL语句中,不会生成预编译的占位符。这种方式适用于动态表名或列名,但存在SQL注入风险。符号时,MyBatis会生成预编译的SQL语句,参数值会被安全地替换为占位符。这种方式可以有效防止SQL注入。符号直接拼接SQL,若参数值来自用户输入且未过滤,可能导致SQL注入。符号生成的预编译SQL可被数据库缓存,提高重复查询效率。符号用于参数替换,但两者的处理方式不同。符号每次拼接SQL,无法利用缓存。符号通过预编译机制避免此问题。符号会生成预编译的占位符(即。符号会直接替换为参数值。
MyBatis#$区别
weixin_36873225的博客
08-01 582
下面是一个实例12345678select"map"SELECTFROMusersWHERE-- 为了方便拼接,可以始终使用一个始终成立的条件 -->-- 根据参数动态拼接排序字段和排序顺序 -->= null">ORDERBY</if>
Mybatis#$区别
热门推荐
伏颜的博客
07-11 2万+
Mybatis#$区别
Mybatis#$区别
m0_64630668的博客
10-29 501
特性#{}${}处理方式预编译,替换为?占位符直接字符串替换,拼接 SQL安全性防 SQL 注入(安全)存在 SQL 注入风险(不安全)参数类型自动加引号(字符串类型)需手动加引号(字符串类型)适用场景大多数参数传递(用户输入)动态 SQL 结构(表名、排序字段等)最佳实践:优先使用#{},仅在必须动态拼接 SQL 结构时使用${},且务必对${}的参数进行严格校验(如白名单限制)。
MyBatis#$区别
Daci Studio
12-13 1273
主要介绍MyBatis#$区别以及优劣势。
Mybatis#$区别是什么?
牛肉胡辣汤
08-22 563
​时,MyBatis会将参数值以安全的方式替换到SQL语句中,使用的是PreparedStatement的预编译机制。​时,参数值会直接替换到SQL语句中,需要注意防止SQL注入攻击的风险。需要注意的是,使用​。​是安全的占位符,适合用于大部分情况下,并且推荐在编写MyBatis SQL语句时使用​。​是字符串替换的占位符,适合用于一些特殊的需求,但需要注意防止SQL注入攻击。​是字符串替换的占位符,它直接将参数的字符串值替换到SQL语句中。​进行占位符的标识,而是直接使用了​。​下面是一个使用​​。
MyBatis#$区别深度解析
weixin_52721608的博客
01-28 947
MyBatis中,#$分别代表预编译参数和字符串拼接。它们在处理SQL语句中的参数时有着不同的行为。MyBatis#区别主要在于预编译参数和字符串拼接的处理方式。使用#可以确保SQL代码的安全性,但可能会影响性能;使用可以提高性能,但需要注意防止SQL注入攻击。在实际开发中,应根据具体需求选择合适的符号。希望本文能够帮助读者更好地理解和使用MyBatis中的#$
Java面试必备:MyBatis#$区别详解
qq_58299462的博客
05-04 1914
MyBatis框架中,`#`和`$`是两种不同的参数占位符,它们在SQL语句处理方式上有显著差异。正确理解和使用这两种符号对于编写安全、高效的MyBatis应用程序至关重要。本文将详细探讨它们的区别,并通过流程图帮助理解其工作原理。
浅谈mybatis中的#$区别
09-02
MyBatis中,`#`和`$`是用来动态构造SQL语句的占位符,它们的区别主要在于SQL预编译和防止SQL注入的能力。理解这两种符号的用法对于编写安全、高效的MyBatis映射文件至关重要。 1. `#`占位符: - `#`将传入的数据...
从一次增删改操作开始:彻底理解 MySQL Buffer Pool 的地位作用
soft2001525的博客
12-11 1905
它是 InnoDB 的核心内存引擎,是所有数据读写的唯一入口,是数据库性能安全性的关键支撑。理解 Buffer Pool 的逻辑,你就理解了 MySQL 的一半。redo logundo log(事务回滚)MVCC脏页、刷盘策略自适应哈希索引B+树索引加载机制查询优化都 Buffer Pool 有直接关系。如果你想系统搞懂 MySQL,从 Buffer Pool 开始是最佳路径。如果本篇文章对你有帮助,欢迎:✏️ 评论交流。
Qt6.5.3 mingw64 Ninja编译oracle oci驱动
小蝈蝈的博客
12-12 384
2.将sdk和basic的内容复制到一起,basic中的instantclient_xx_x目录下的内容,sdk的instantclient_xx_xx目录下的内容。├── include/ ← 头文件(来自 sdk/include)到 自己的项目的运行路径下的**/plugins/sqldrivers/**└── sdk/ ← 原始目录(可保留,但非必需)3.将oci.dll生成mingw64支持的.a库。4.切换到Qt源码中的路径下,我的路径。
KingbaseES 面向应用程序的SQL开发:从原理到实战的深度探索
最新发布
CSDN博客专家,领域包括但不限于:AI、大数据、Python、架构师,有合作、课程、问题、疑惑请私信博主
12-14 504
KingbaseES数据库SQL开发实践解析 摘要:本文深入探讨国产数据库KingbaseES在SQL开发中的核心实践,重点分析四大关键技术:1) SQL处理机制,包括游标管理和绑定变量优化;2) 正则表达式的高级应用性能优化;3) 多类型索引的选择优化策略;4) 事务控制锁机制。通过具体代码示例,展示了KingbaseES在金融、政务等关键领域的高性能SQL开发能力,包括事务隔离级别设置、死锁检测等高级特性。文章为开发者提供了从基础语法到高级优化的完整SQL开发指南,助力企业实现高效可靠的数据库应用
基于Java+SpringBoot+Vue的美甲店管理系统【附源码+文档+部署视频+讲解)
小熊的博客
12-11 1146
基于SpringBoot的美甲店管理系统开发案例,涵盖用户、美甲师和管理员三大角色功能模块,采用Vue+SpringBoot+MySQL技术栈实现。系统包含服务预约、订单管理、耗材采购等全流程数字化功能,采用MVC设计模式和B/S架构。包含用户、美甲师、管理员三类角色的功能模块,该系统聚焦美甲店的日常运营场景,通过用户端浏览服务套餐、美甲师端处理预约评价、管理员端统筹人员、业务资源的模式,实现美甲店从服务展示、预约调度到耗材管理的全流程数字化,提升门店运营效率服务体验。
小白安装Redis
2201_75999403的博客
12-11 571
简单亲测无痛安装redis
java面试:怎么保证消息队列当中的消息丢失、重复问题?
2301_80939853的博客
12-11 903
在面试的过程之中,假设你在简历当中填写了mq的相关技术,那面试官大概率会考察这方面的问题来看看你对mq相关知识的掌握程度,小编在这一块也被拷打过,今天就和大家一起来了解一下这方面的知识,希望大家都有所提升。
mybatis#$区别
12-30
### MyBatis 中 `#` 和 `$` 符号的区别 #### 占位符功能差异 在 MyBatis 中,`#{}` 和 `${}` 都可以作为占位符来插入参数到 SQL 语句中。然而两者的工作机制存在显著不同。 当使用 `#{}` 形式的占位符时,MyBatis 将其视为预处理语句 (PreparedStatement) 的参数绑定方式[^1]。这意味着实际的 SQL 发送到数据库之前会先由 JDBC 进行一次转义处理,从而有效防止 SQL 注入攻击的发生。 而采用 `${}` 方式,则是直接替换模板中的变量名为其对应的值字符串,并不做任何额外的安全检查或转换操作[^2]。因此,在某些特殊情况下可能会引入潜在风险。 #### 使用场景对比 由于上述特性上的差别,这两种语法适用于不同的编程环境: - 对于大多数常规查询条件构建而言,推荐优先选用 `#{}` 结构以增强应用程序的整体安全性; - 当遇到一些无法通过标准 API 实现的需求——比如表名、列名动态指定等情况时,则可能不得不借助 `${}` 完成相应逻辑编码工作;不过此时应当格外谨慎对待输入验证环节[^3]。 #### 示例代码展示 下面给出一段简单的例子说明如何分别运用这两种表达形式编写 Mapper XML 文件内的 SELECT 语句: ```xml <!-- 正确做法 --> <select id="findUserById" parameterType="int" resultType="com.example.User"> SELECT * FROM users WHERE user_id = #{userId} </select> <!-- 错误示范:容易遭受注入威胁 --> <select id="findByTableName" parameterType="string" resultType="map"> SELECT * FROM ${tableName} <!-- 不建议这样写 --> </select> ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值