Mybatis中#{}与${}的区别

MyBatis中#{}和${}的区别与选择

最新推荐文章于 2025-03-22 16:06:09 发布

原创最新推荐文章于 2025-03-22 16:06:09 发布 · 759 阅读

7 ·

CC 4.0 BY-SA版权

文章标签：

#mybatis #java #数据库

本文介绍了MyBatis中#{}和${}的区别与选择。#{}是占位符，预编译后执行，对应变量自动加单引号，能防止SQL注入；${}是拼接符，编译后执行，对应变量不加单引号，不能防止SQL注入。建议能用#{}就用，表名作参数或order by排序时用${}，传参可用@Param注解。

一、区别

#{}和${}这两个语法是为了动态传递参数而存在的，是Mybatis实现动态SQL的基础，总体上他们的作用是一致的（为了动态传参），但是在编译过程、是否自动加单引号、安全性、使用场景等方面有很多不同，下面详细比较两者间的区别。

1、编译过程：

#{}是占位符，预编译-->执行

${}是拼接符，编译-->执行

2、是否自动加单引号

#{}对应的变量会自动加单引号

${}对应的变量不会自动加单引号

3、安全性：

#{}能防止sql注入

${}不能防止sql注入

4、Mybatis默认值不同

#{}默认值arg0、arg1、arg2或0、1

${}默认值param1、param2、param3

二、如何选择

1、能用 #{} 的地方就用 #{}，尽量少用 ${}

2、表名作参数，或者order by 排序时用 ${}

3、传参时参数使用@Param("")注解，@Param注解的作用是给参数命名，参数命名后就能根据名字得到参数值（相当于又加了一层密）。

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

张万森的救赎

关注关注

8
点赞
踩
7

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

Mybatis中的${}和#{}区别

sebeefe的博客

06-08

264

动态 sql 是 mybatis 的主要特性之一，在 mapper 中定义的参数传到 xml 中之后，在查询之前， mybatis 会对其进行动态解析。mybatis 为我们提供了两种支持动态 sql 的语法：#{}以及${}提示：以下是本篇文章正文内容，下面案例可供参考（1）#{}：参数占位符，即预编译（2）${} ：字符串替换符，即SQL拼接（1）#{}：很大程度上能防止sql 注入（2）${}：不能防止sql 注入DBMS：数据库管理系统(Database Management System)是一

【编程基础知识】Mybatis中#和$两种参数替换符合有啥区别

Dylaniou的博客

09-09

398

Mybatis中#和$两种参数替换符合有啥区别

参与评论您还未登录，请先登录后发表或查看评论

【MyBatis】MyBatis中 #{ }和 ${ }的区别

啊松同学的博客

01-11

1204

Mybatis中#{ }和${ }的区别

Mybatis 中 #{}和${}的区别是什么？

weixin_52222660的博客

04-23

1394

mybatis编写SQL语句的时候，经常需要用到，那么用来替换变量值的操作这两个符号，同样在一些Java面试中也经常被问到它们的区别。那么它们在使用上面有什么区别呢？

MyBatis中#{}和${}的区别

m0_67683346的博客

02-28

5396

MyBatis中#{}和${}的区别

请简述MyBatis中 #{} 和 ${} 之间的区别。

Jiali的博客

05-10

2261

首先和都可以用来读取调用Mapper接口时传递给方法的形参值，形参可以是基本类型、引用类型（对象），不管是读取基本类型还是对象中的属性，都可以用或直接获取到。

浅谈Mybatis #和$区别以及原理

08-18

浅谈Mybatis #和$区别以及原理 Mybatis是一款流行的持久层框架，它提供了两个占位符：#和$，它们均用于参数化SQL语句，但是它们的作用和原理却有所不同，本文将详细介绍这两者的区别和原理。 #和$的区别在...

Mybatis中#{}和${}传参的区别及#和$的区别小结

09-02

在MyBatis框架中，`#{}`和`${}`是两种不同的参数占位符，它们在处理传参时有着显著的差异，同时也关联到`#`和`$`的区别。理解这些差异对于编写安全且高效的SQL查询至关重要。首先，`#{}`是MyBatis的预编译参数占位...

MyBatis中#和$符的区别，sql注入问题，动态sql语句

m0_73381672的博客

02-06

2018

#{}和${}都是MyBatis提供的sql参数替换。区别是： #{}是预编译处理，${}是字符串直接替换。 #{}可以防止SQL注入，${}存在SQL注入的风险，例如 “' or 1='1” 虽然存在SQL注入风险，但也有自己的适用场景，比如排序功能，表名，字段名等作为参数传入时。 #{}模糊查询要搭配使用mysql内置的拼接函数concat，安全性高。模糊查询虽然${}可以完成，但是存在SQL注入，不安全。

浅谈mybatis中的#和$的区别

09-02

在MyBatis中，`#`和`$`是用来动态构造SQL语句的占位符，它们的区别主要在于SQL预编译和防止SQL注入的能力。理解这两种符号的用法对于编写安全、高效的MyBatis映射文件至关重要。 1. `#`占位符： - `#`将传入的数据...

彻底搞懂MyBaits中#{}和${}的区别

热门推荐

緑水長流*z

07-11

3万+

MyBatis的`#{}`之所以能够预防SQL注入是因为底层使用了`PreparedStatement`类的`setString()`方法来设置参数，此方法会获取传递进来的参数的每个字符，然后进行循环对比，如果发现有敏感字符（如：单引号、双引号等），则会在前面加上一个`'/'`代表转义此符号，让其变为一个普通的字符串，不参与SQL语句的生成，达到防止SQL注入的效果。 **其次`${}`本身设计的初衷就是为了参与SQL语句的语法生成**，自然而然会导致SQL注入的问题（不会考虑字符过滤问题）。

Mybatis中#{}和${}的区别是什么

2303_78263863的博客

03-12

923

在MyBatis中，#{}和${}是两种参数替换方式，核心区别在于和。

mybatis中#{}和${}的区别

Lyuuku爱吃苹果

02-11

600

1. 概念 #{}和${}都可以传输数据,两者的差异是编译的时期不一样 #{}是一次编译,后续每次调用只是传递一个参数进去${}是每次都会编译,传递进去的数据会当做sql语句一起编译 2. sql语句的编译 sql语句编译有两种形式,即statement和PrepareStatement两种 2.1 Statement statement每次执行语句都要重新编译一次

MyBatis中#{}和${}的区别详解

weixin_30275415的博客

07-18

210

首先看一下下面两个sql语句的区别： <select id="selectByNameAndPassword" parameterType="java.util.Map" resultMap="BaseResultMap"> select id, username, password, role from user where username = #{username,j...

Mybatis中#{}和${}的区别是什么？

whitek387的博客

07-30

1313

原文链接，讲的很细！！！！！动态 sql 是 MyBatis 的主要特性之一，在 mapper 中定义的参数传到 xml 中之后，在查询之前 MyBatis 会对其进行动态解析。MyBatis 为我们提供了两种支持动态 sql 的语法：#{} 以及 ${}。面试题:#{}和KaTeX parse error: Expected 'EOF', got '#' at position 13: {}的区别是什么？ 1）#̲{}是预编译处理， {}是字符串替换。 2）MyBatis在处理#{}时，会将SQL中的

MyBatis中 #{}和${}的区别是什么？

X1433316138的博客

02-28

1174

#{}是预编译处理，${}是字符串替换。 Mybatis在处理#{}时，会将sql中的#{}替换为?号，调用PreparedStatement的set方法来赋值； Mybatis在处理${}时，就是把${}替换成变量的值。使用#{}可以有效的防止SQL注入，提高系统安全性。 #{} 1、#{}表示一个占位符号相当于jdbc中的?符号 2、#{}将传入的数据都当成一个字符串，会对自动传入的数据加一个双引号。 ${} 1、$ {}将传入的数据直接显示生成在sql中。 Mybat...

MyBatis 中 #{} 和 ${} 的区别详解

最新发布

秃头之旅

03-22

2261

MyBatis 是一个优秀的持久层框架，它简化了数据库操作，并提供了强大的 SQL 映射功能。在 MyBatis 中，#{}和${}是两种常用的占位符，用于动态替换 SQL 语句中的参数。尽管它们看起来相似，但它们在处理方式和安全性上有显著的区别。本文将详细探讨#{}和${}的区别，并分析它们的适用场景。

mybatis中#和$的区别？

12-30

### MyBatis 中 `#` 和 `$` 符号的区别 #### 占位符功能差异在 MyBatis 中，`#{}` 和 `${}` 都可以作为占位符来插入参数到 SQL 语句中。然而两者的工作机制存在显著不同。当使用 `#{}` 形式的占位符时，MyBatis 将其视为预处理语句 (PreparedStatement) 的参数绑定方式[^1]。这意味着实际的 SQL 发送到数据库之前会先由 JDBC 进行一次转义处理，从而有效防止 SQL 注入攻击的发生。而采用 `${}` 方式，则是直接替换模板中的变量名为其对应的值字符串，并不做任何额外的安全检查或转换操作[^2]。因此，在某些特殊情况下可能会引入潜在风险。 #### 使用场景对比由于上述特性上的差别，这两种语法适用于不同的编程环境： - 对于大多数常规查询条件构建而言，推荐优先选用 `#{}` 结构以增强应用程序的整体安全性； - 当遇到一些无法通过标准 API 实现的需求——比如表名、列名动态指定等情况时，则可能不得不借助 `${}` 完成相应逻辑编码工作；不过此时应当格外谨慎对待输入验证环节[^3]。 #### 示例代码展示下面给出一段简单的例子说明如何分别运用这两种表达形式编写 Mapper XML 文件内的 SELECT 语句： ```xml  <select id="findUserById" parameterType="int" resultType="com.example.User"> SELECT * FROM users WHERE user_id = #{userId} </select>  <select id="findByTableName" parameterType="string" resultType="map"> SELECT * FROM ${tableName}  </select> ```