Mybatis传参时使用$和#的区别

最新推荐文章于 2025-03-22 16:00:42 发布
最新推荐文章于 2025-03-22 16:00:42 发布
阅读量843 收藏 5
点赞数
分类专栏: Mybatis 文章标签: mybatis
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/codeliang20/article/details/107637491
版权
本文详细解析了Mybatis中$与#符号在参数传递上的不同,#使用预处理方式,防止SQL注入,适用于查询条件;$则采用字符串拼接,存在安全风险,适合分库分表场景。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一. 前言

很多小伙伴不太清楚Mybatis传参时使用$和#的区别,今天就来为大家解答一下

二. $和#的区别

sql映射文件:

<!-- 
		public List<Emp> selectEmpByEmpNameLike(String empName,Integer startSize,Integer pageSize,List<Integer> ids);
	 -->
	<select id="selectEmpByEmpNameLike" resultType="com.wanbangee.entities.Emp">
		select * from emp where emp_name like #{param1} and emp_id = #{3[2]} limit ${param2},${param3}
	</select>

打印的sql语句:

select * from emp where emp_name like ? and emp_id = ? limit 0,5

通过上面运行结果发现:

#:使用占位符的形式传递参数

$ : 直接通过字符串拼接的形式传递参数

所以得出结论

#:使用预处理【预编译】的处理,不存在sql注入的安全问题

$:存在sql注入的安全问题

那么什么时候使用#,什么使用使用$?参数为查询条件的时候使用#,而分开分表的时候使用$,什么是分库分表呢?

Order_202001,order_202002,order_202003…有一个业务,要求按照用户输入的月份查询对应月份的订单信息,参数值为202001

Select * from order_#{year_month} ×

Select * from order_${year_month} √

18.<Mybatis补充($#区别+数据库连接池)>
m0_73456341的博客
10-23 1896
详解了 1.$#区别 2.数据库连接池。 3.简单了解MySQL企业开发规范
MyBatis#$符的区别,sql注入问题,动态sql语句
m0_73381672的博客
02-06 1852
#{}${}都是MyBatis提供的sql参数替换。区别是: #{}是预编译处理,${}是字符串直接替换。 #{}可以防止SQL注入,${}存在SQL注入的风险,例如 “' or 1='1” 虽然存在SQL注入风险,但也有自己的适用场景,比如排序功能,表名,字段名等作为参数传入#{}模糊查询要搭配使用mysql内置的拼接函数concat,安全性高。模糊查询虽然${}可以完成,但是存在SQL注入,不安全。
Mybatis#{}${}传参区别#$区别小结
09-02
主要介绍了Mybatis#{}${}传参区别#$区别小结 的相关资料,非常不错,具有参考借鉴价值,需要的朋友可以参考下
Mybatis 中在传参$ #区别
Curtain
12-12 3070
MyBatis使用parameterType向SQL语句传参,parameterType后的类型可以是基本类型int,String,HashMapjava自定义类型。 在SQL中引用这些参数的候,可以使用两种方式#{parameterName}或者${parameterName},    首先,我们说一下这两种引用参数区别使用#{parameterName}引用参数的候,Myba
Mybatis中的#$符号的区别
最新发布
m0_69529796的博客
03-22 461
符号作用是否预编译SQL 注入风险占位符,参数绑定✔️ 支持预编译❌ 安全(防止SQL注入)字符串拼接❌ 不预编译⚠️ 有SQL注入风险场景推荐备注传递普通参数(数字、字符串)#{}安全、高效传递动态表名、字段名、排序规则${}需要手动校验,避免 SQL 注入MyBatis#{} 表示占位符,使用 PreparedStatement 预编译,能有效防止 SQL 注入,是最推荐的写法。
mybatis传参$#区别
weixin_37630333的博客
08-28 581
mybatis传参$#区别 #{}将传入的参数当成一个字符串,会给传入的参数加一个双引号 ${}将传入的参数直接显示生成在sql中,不会添加引号 <!-- 根据条件查询 符合条件的数据 --> <select id="getOneByParam" resultMap="BaseResultMap" parameterType="java.lang.String">...
Mybatis传参 #{} ${} 的区别
zhaoyyyy_5555的博客
09-16 199
#{}是会给参数带引号还会给你隐藏参数, ${} 不会给参数带引号还暴露了参数
Mybatis#{}${}传参区别
weixin_42975605的博客
11-14 323
&quot;使用#传入参数&quot; sql语句:select * from emp where empno= #{empNo}; 如果传入empNo为7369,那么打印出来的就是 select * from dept where dname = '7369'; &quot;使用$传入参数&quot; sql语句:select * from dept where dname = ${dname}; ...
MyBatis - #{} ${}
m0_74859835的博客
09-21 859
mybatis - #{ } ${ } 的使用区别,预编译SQL SQL 的优缺点,及SQL注入问题
Mybatis动态传参使用#{}${}的区别是什么?
06-09
MyBatis 中,`#` `$` 都是用于参数的占位符,但是它们的作用是不同的。 `#` 是用来防止 SQL 注入攻击的,它会将参数值以安全的方式替换进 SQL 语句中,相当于是预编译的 SQL 语句参数。使用 `#` 可以有效避免...
mybatis使用笔记:谈谈#$两种传参方式
码农之道
12-10 727
使用mybatis的过程中,我们的传参方式有#{}${}两种,很多候我们都是推荐使用#{}这种方式,接下来我们就一起来看看这两者的区别使用的场景: #{}方式能够很大程度防止sql注入。因为#{}这种方式SQL语句是经过预编译的,它是把#{}中间的参数转义成字符串。 $方式无法防止Sql注入。因为这种方式是将值传入后再编译sql语句。 $方式一般用于传入数据库对象,例如传入表名。!!!...
mybatis#{}${}传参区别
qq_24192465的博客
01-23 441
#{}  使用#{}意味着使用的预编译的语句,即在使用jdbc的preparedStatement,sql语句中如果存在参数则会使用?作占位符,我们知道这种方式可以防止sql注入,并且在使用#{}形成的sql语句,已经带有引号,例,select  * from table1 where id=#{id}  在调用这个语句我们可以通过后台看到打印出的sql为:select * from ta...
mybatis参数的传递
swop_的博客
07-14 466
mybatis的参数传递 #{}he${} mybatis的参数传递有两种方式,分别是使用#{}${}这两种方式之间存在一些差异#{}会解析为一个JDBC预编译语句(PreparedStatement)的参数标记符,简单来说就是一个占位符?而传入的参数将会经过的强制类型检查安全检查等处理,最后作为一个合法的字符串传入.${}这种方式只会做简单的字符串替换,在动态SQL解析阶段将会进行变量替换....
MyBatis基础入门4:#{}${}传参使用区别
weixin_43183850的博客
05-02 3220
mybatis传参的两种方式:#{}${}
mybatis里面动态传参${} #{}的区别
qq_37557563的博客
07-06 2627
他们的区别一句话概括:#{name}对数据 加上 双引号,${name}直接显示数据。 1、#{name}把传入的参数视为字符串,会预编译, 例子:select * from a where name= #{name} 入参name=哈哈 其实相当于select * from a where name="哈哈", 2、${name} 不会进行预编译, 例子:select * from a where name= #{name},入参name=哈哈, 其实相当于s...
mybatis #{}${}的区别传参、基本语法
wutongyuWxc的博客
11-28 4451
1 #{}${}的区别、及注入问题 (1) 区别: 首先清楚一点,动态 SQL 是 mybatis 的强大特性之一,在 mapper 中定义的参数传到 xml 中之后,在查询之前 mybatis 会对其进行动态解析,#{} ${} 在预编译中的处理是不一样的: 例如:select * from t_user where userName = #{name}; #{...
Mybatis 传参的几种方式
专注基础架构领域
11-07 860
1.单个参数 Mapper.java==> Mapper.xml ==> 2.按照顺序传参 Mapper.java==> Mapper.xml ==> 注意:没有使用parameterType属性,早期版本用#{0},#{1} 3.使用@Param注解 Mapper.java==> Mapper.xml ==> 4.Map传参 ...
关于Mybatis中Mapper输入参数的两种取值符号
Charles
09-16 3084
使用Mybatis框架,我们会使用Mapper配置文件来定义sql语句以实现我们所需要的增删改查。而对于sql语句中所需要的参数的传递,是一个非常常见的问题,在jdbc中我们可以使用PreparedStatement来传递我们所需要的参数。在Mybatis中,我们使用parameterType来传递输入参数(如果觉得此处唠叨,就当凑个字数)。 而对于参数来说,我们平常常见的就是八大基本类型+...
mybatis传参
ningmeng666_c的博客
08-13 3608
一、mybatis传参 1.0.1简单类型传参 Dao接口中方法 /** * 查询所有部门员工 * @param jobId * @return list */ List<Emp> findByJobId(Integer jobId); mapper文件 <select id="findByJobId" parameterType="int" resultType="com.example.domain.Emp">
springboot中mybatis传参使用#传参查询不出数据
07-28
在Spring Boot中使用MyBatis进行传参,可以使用两种方式:# $。其中,#用于传递参数值,而$用于直接替换参数值。 如果在使用#传参查询不出数据,可能是以下几个原因: 1. 参数名与实体对象的属性名不一致:...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值