Mybatis中#与$的区别

最新推荐文章于 2025-10-29 11:12:05 发布

原创最新推荐文章于 2025-10-29 11:12:05 发布 · 410 阅读

0 ·

CC 4.0 BY-SA版权

文章标签：

#mybatis

个人知识区专栏收录该内容

1 篇文章

订阅专栏

Mybatis中的#{}用于传递查询的参数，用于从dao层传递一个string参数过来（也可以是其他参数），select * from 表名 order by age=#{age}

Mybatis会把这个参数转换成一个字符串。select * from 表名 order by age="age" 相当于jdbc中的预编译，安全。

而${}一般用于order by的后面，Mybatis不会对这个参数进行任何的处理，直接生成了sql语句。例：传入一个年龄age的参数，select * from 表名 order by ${age}

Mybatis生成的语句为 select * from 表名 order by age Mybatis不会对$传递的参数做任何处理，相当于jdbc中的另外一种编译方式。

一般我们使用#{}，不使用${}，原因：

会引起sql注入，${}会直接参与sql编译。会影响sql语句的预编译。

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

LLL0227

关注关注

2
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

mybatis,#与$的区别

Top5软件工程硕士，先后在京东、字节从事多年Java后端开发、实时和离线大数据开发

10-29

946

别人老说？不编译#编译，一直稀里糊涂的，不如自己试一下，其实说白了就是#是否编译成?再用传入的参数代替。其实把这些原理用很通俗的语言说给一个新手听，反而说明自己也理解了，而不是一直跟新手说区别就是是否编译...... --正确 WeatherPO weatherPO = weatherDao.queryByAreaIdAndAreaName("101101001", "忻州"); <se...

mybatis - 取值符号：# 和 $的区别

pig_ning的博客

04-25

1238

mybatis - 取值符号：# 和 $的区别

参与评论您还未登录，请先登录后发表或查看评论

MyBatis中#{}和${}的用法

时代各有不同，青春一脉相承。

12-31

995

MyBatis中#{}和${}的用法区别#{}方式能够很大程度上防止sql注入，${}无法防止sql注入。${}方式一般用于传入数据库对象，例如列表和表名，#{}方式一般用来传递接口传输过来的具体数据。由于#{}方式具有更高的安全行，所以能用#{}的地方尽量不要使用${}。Mybatis排序时使用order by动态参数时需要注意，用${}而不是#{}。

Mybatis中# 和 $的区别

m0_64630668的博客

10-29

514

特性#{}${}处理方式预编译，替换为?占位符直接字符串替换，拼接 SQL安全性防 SQL 注入（安全）存在 SQL 注入风险（不安全）参数类型自动加引号（字符串类型）需手动加引号（字符串类型）适用场景大多数参数传递（用户输入）动态 SQL 结构（表名、排序字段等）最佳实践：优先使用#{}，仅在必须动态拼接 SQL 结构时使用${}，且务必对${}的参数进行严格校验（如白名单限制）。

Mybatis中#和$的区别

热门推荐

伏颜的博客

07-11

2万+

Mybatis中#和$的区别

Mybatis 中#和$区别

dingqinghu的专栏

05-30

1万+

#号与$区别： #号表示参数，$代表一个字符串。如： select a,b,c from table1 where id=#value#,传入参数后如：value="1"，则可生成：select a,b,c from table1 where id=‘1’。 select a,b,c from table1 where city like '%$value$%',传入参数后： valu

浅谈Mybatis #和$区别以及原理

08-18

浅谈Mybatis #和$区别以及原理 Mybatis是一款流行的持久层框架，它提供了两个占位符：#和$，它们均用于参数化SQL语句，但是它们的作用和原理却有所不同，本文将详细介绍这两者的区别和原理。 #和$的区别在...

Mybatis中#{}和${}传参的区别及#和$的区别小结

09-02

在MyBatis框架中，`#{}`和`${}`是两种不同的参数占位符，它们在处理传参时有着显著的差异，同时也关联到`#`和`$`的区别。理解这些差异对于编写安全且高效的SQL查询至关重要。首先，`#{}`是MyBatis的预编译参数占位...

【编程基础知识】Mybatis中#和$两种参数替换符合有啥区别

Dylaniou的博客

09-09

411

Mybatis中#和$两种参数替换符合有啥区别

MyBatis中#和$符的区别，sql注入问题，动态sql语句

m0_73381672的博客

02-06

2056

#{}和${}都是MyBatis提供的sql参数替换。区别是： #{}是预编译处理，${}是字符串直接替换。 #{}可以防止SQL注入，${}存在SQL注入的风险，例如 “' or 1='1” 虽然存在SQL注入风险，但也有自己的适用场景，比如排序功能，表名，字段名等作为参数传入时。 #{}模糊查询要搭配使用mysql内置的拼接函数concat，安全性高。模糊查询虽然${}可以完成，但是存在SQL注入，不安全。

浅谈mybatis中的#和$的区别

09-02

在MyBatis中，`#`和`$`是用来动态构造SQL语句的占位符，它们的区别主要在于SQL预编译和防止SQL注入的能力。理解这两种符号的用法对于编写安全、高效的MyBatis映射文件至关重要。 1. `#`占位符： - `#`将传入的数据...

mybatis中的#和$的区别

谦虚使人发胖的博客

05-03

627

简介 MyBatis 是一款优秀的持久层框架，它支持定制化 SQL、存储过程以及高级映射。MyBatis 避免了几乎所有的 JDBC 代码和手动设置参数以及获取结果集。MyBatis 可以使用简单的 XML 或注解来配置和映射原生信息，将接口和 Java 的 POJOs(Plain Old Java Objects,普通的 Java对象)映射成数据库中的记录。动态 sql 是 my...

MyBatis中 # 和 $ 的区别？

脚印

01-03

1297

#相当于对数据加上双引号，$相当于直接显示数据 #将传入的数据都当成一个字符串，会对自动传入的数据加一个双引号。如：order by #user_id#，如果传入的值是111，那么解析成sq 时的值为：order by “111”；如果传入的值是id，则解析成的sql为：order by “id” $将传入的数据直接显示生成在sql中。如：order by useriduser_iduser...

MyBatis中 #和$的区别

阿顾的博客

06-27

1472

$符号的用法场景：用户数据特别多，需要把用户数据分表存储，user1表和user2表；查询表中的信息，有时需要从user1表中查，有时需要从user2表中查，现在想用一个方法完成。在UserMapper接口中增加一个根据表名查询用户的方法： /** * 根据表名查询用户信息 * @param tableName * @return */ ...

MyBatis 中 #{} 和 ${} 的区别

liuyuinsdu的专栏

03-12

1492

1、在MyBatis 的映射配置文件中，动态传递参数有两种方式：（1）#{}占位符（2）${}拼接符 2、#{}和${}的区别（1） 1）#{}为参数占位符?，即sql 预编译 2）${}为字符串替换，即sql 拼接（2） 1）#{}：动态解析 ->预编译-> 执行 2）${}：动态解析 ->编译-> 执行（3） 1）#{}的变量替换是在DBMS中 2）${}的变量替换是在DBMS外（4） 1）变量替换后，...

MyBatis中#{}和${}的区别？

学无止境

04-13

544

（1）#{} 在xxMapper.xml文件中，查询语句如下： <select id="selectUser" resultType="mybatis.entity.User"> select * from user where username= #{username} </select> 此时，在mybatis执行该语句前，会将该查询编译成“...

mybatis中#和$区别

最新发布

01-03

在 MyBatis 中，`#` 和 `$` 都用于在 SQL 语句中进行变量替换，但它们存在一些区别： - **参数传递类型**： - `#`：可传递任意类型的参数，包括普通类型（8 大基本数据类型、8 大包装类和 String）和对象。当传递普通类型时，正常发送的 SQL 语句会以占位符形式呈现，如 `SELECT * FROM t_student WHERE id=?`；传递对象时同样如此 [^2]。 - `$`：只能取对象中的值，传递普通类型时会报错，无法取值。当传递对象时，会将传入的数据直接显示生成在 SQL 中，例如 `order by $user_id$`，若传入的值是 `111`，解析成 SQL 时为 `order by user_id`；若传入的值是 `id`，解析成的 SQL 为 `order by id` [^2][^4]。 - **SQL 注入风险**： - `#`：取值可以有效防止 SQL 注入，因为它是通过预编译的方式将参数传递给数据库，参数会被当作一个字符串处理，而不是 SQL 的一部分 [^2]。 - `$`：取值是 SQL 拼接，不能有效防止 SQL 注入，因为它会将传入的数据直接拼接到 SQL 语句中，若传入恶意的 SQL 代码，可能会导致 SQL 注入攻击 [^2]。 - **预编译支持和性能**： - `#`：取值让 SQL 语句支持预编译的功能，数据库可以对 SQL 语句进行缓存和优化，提高执行效率，性能较高 [^2]。 - `$`：不支持预编译，每次执行 SQL 时都需要重新解析和编译，性能相对较低 [^2]。 - **使用场景**： - `#`：一般用于取值操作，是 MyBatis 中最常用的参数传递方式 [^2]。 - `$`：一般用于动态排序、动态表名等场景，因为在这些场景中需要动态生成 SQL 语句的一部分 [^2]。以下是使用示例： ```xml  <select id="selectStudentById" parameterType="int" resultType="Student"> SELECT * FROM t_student WHERE id = #{id} </select>  <select id="selectStudentsOrderBy" parameterType="String" resultType="Student"> SELECT * FROM t_student ORDER BY ${sortColumn} </select> ```