mybatis中的#{}和${}的区别

mybatis #{}与${} 的差异解析
最新推荐文章于 2025-10-29 11:12:05 发布
原创 最新推荐文章于 2025-10-29 11:12:05 发布 · 330 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

mybatis中的#{}和${}扮演不同角色。#{}是预编译占位符,防止SQL注入,而${}进行字符串替换,可能导致SQL注入。建议尽可能使用#{},但在表名作为变量时,需使用${}避免语法错误。

mybatis中的#{}和${}的区别

FIRST

首先要搞清楚两个概念:动态解析和预编译。动态解析可以理解为mybatis将mapper中的sql解析为预编译语句可以认识的预编译sql;预编译就是PreparedStatement对sql进行编译,变为DBMS可以直接执行的sql。

SECOND

#{}是占位符、防止sql注入,mybatis在动态解析的时候会将#{} 替换为? 然后用PreparedStatement的set方法设置值,该set方法会对传进来的参数进行转义,将一些注入特殊字符和注入的sql进行过滤

    解析前:select * from user_info where user_no = #{} and user_name = #{}
    解析后:select * from user_info where user_no = ? and user_name = ?

&{}是sql拼接符,仅仅为一个string的替换,在动态sql解析的时候会进行变量替换。

    解析前:select * from user_info where user_no = ${}
    解析后:select * from user_info where user_no = 111 and user_name = 123
    如果mapper中传入的参数user_no = ' 1 Or true --',就会查所有用户信息;要注意传递的参数'*',并不代表传递的就是带单引号的,只是为了让你能看清这是个字符串,所以才会加上单引号,但其实其本身并没有单引号,除非是'\'*\''

综上所述:${} 变量替换是在动态sql解析阶段,而#{}变量替换是在DBMS中。
能使用#{}的地方就使用#{},并且具有相同的预编译sql可以重复利用,也防止sql注入优势。
表名作为变量时,必须使用,这是因为表名是字符串,使用sql占位符替换字符串时会带上单引号,会导致sql语法错误。使用{},这是因为表名是字符串,使用sql占位符替换字符串时会带上单引号,会导致sql语法错误。使用使sqlsql使{}拼接符在动态编译阶段拼接之后的表名就会没有单引号。

参考链接:https://blog.youkuaiyun.com/qq_32625839/article/details/82495881

MyBatis#{}${}的用法
时代各有不同,青春一脉相承。
12-31 975
MyBatis#{}${}的用法 区别#{}方式能够很大程度上防止sql注入,${}无法防止sql注入。${}方式一般用于传入数据库对象,例如列表表名,#{}方式一般用来传递接口传输过来的具体数据。由于#{}方式具有更高的安全行,所以能用#{}的地方尽量不要使用${}。Mybatis排序时使用order by动态参数时需要注意,用${}而不是#{}。
【编程基础知识】Mybatis#$两种参数替换符合有啥区别
Dylaniou的博客
09-09 398
Mybatis#$两种参数替换符合有啥区别
MyBatis#{}${}的区别
m0_67683346的博客
02-28 5396
MyBatis#{}${}的区别
Mybatis# $区别
最新发布
m0_64630668的博客
10-29 493
特性#{}${}处理方式预编译,替换为?占位符直接字符串替换,拼接 SQL安全性防 SQL 注入(安全)存在 SQL 注入风险(不安全)参数类型自动加引号(字符串类型)需手动加引号(字符串类型)适用场景大多数参数传递(用户输入)动态 SQL 结构(表名、排序字段等)最佳实践:优先使用#{},仅在必须动态拼接 SQL 结构时使用${},且务必对${}的参数进行严格校验(如白名单限制)。
mybatis#{}${}的区别
Lyuuku爱吃苹果
02-11 600
1. 概念 #{}${}都可以传输数据,两者的差异是编译的时期不一样 #{}是一次编译,后续每次调用只是传递一个参数进去${}是每次都会编译,传递进去的数据会当做sql语句一起编译 2. sql语句的编译 sql语句编译有两种形式,即statementPrepareStatement两种 2.1 Statement statement每次执行语句都要重新编译一次
MyBatis#{} ${} 的区别详解
秃头之旅
03-22 2261
MyBatis 是一个优秀的持久层框架,它简化了数据库操作,并提供了强大的 SQL 映射功能。在 MyBatis 中,#{}${}是两种常用的占位符,用于动态替换 SQL 语句中的参数。尽管它们看起来相似,但它们在处理方式安全性上有显著的区别。本文将详细探讨#{}${}的区别,并分析它们的适用场景。
Mybatis——#{}${}的区别
热门推荐
想着百万年薪努力的小赵
07-08 5万+
在使用mybatis的时候我们会使用到#{}${}这两个符号来为sql语句传参数,那么这两者有什么区别呢?#{}是预编译处理,是占位符,${}是字符串替换,是拼接符Mybatis在处理#{}的时候会将sql中的#{}替换成?号,调用PreparedStatement来赋值 如: 设userName=yuze看日志我们可以看到解析时将#{userName}替换成了 ? 然后再把yuze放进去,外面加上单引号 设userName=yuze看日志可以发现就是直接把值拼接上去了 这极有可能发生sql注入,下面举了
浅谈Mybatis #$区别以及原理
08-18
浅谈Mybatis #$区别以及原理 Mybatis是一款流行的持久层框架,它提供了两个占位符:#$,它们均用于参数化SQL语句,但是它们的作用原理却有所不同,本文将详细介绍这两者的区别原理。 #$区别 在...
Mybatis#{}${}传参的区别#$区别小结
09-02
MyBatis框架中,`#{}``${}`是两种不同的参数占位符,它们在处理传参时有着显著的差异,同时也关联到`#``$`的区别。理解这些差异对于编写安全且高效的SQL查询至关重要。 首先,`#{}`是MyBatis预编译参数占位...
浅谈mybatis中的#$区别
09-02
MyBatis中,`#``$`是用来动态构造SQL语句的占位符,它们的区别主要在于SQL预编译防止SQL注入的能力。理解这两种符号的用法对于编写安全、高效的MyBatis映射文件至关重要。 1. `#`占位符: - `#`将传入的数据...
MyBatis#$符的区别,sql注入问题,动态sql语句
m0_73381672的博客
02-06 2018
#{}${}都是MyBatis提供的sql参数替换。区别是: #{}是预编译处理,${}是字符串直接替换。 #{}可以防止SQL注入,${}存在SQL注入的风险,例如 “' or 1='1” 虽然存在SQL注入风险,但也有自己的适用场景,比如排序功能,表名,字段名等作为参数传入时。 #{}模糊查询要搭配使用mysql内置的拼接函数concat,安全性高。模糊查询虽然${}可以完成,但是存在SQL注入,不安全。
Mybatis#$区别
dingqinghu的专栏
05-30 1万+
#号与$区别#号表示参数,$代表一个字符串。如: select a,b,c from table1 where id=#value#,传入参数后如:value="1", 则可生成:select a,b,c from table1 where id=‘1’。 select a,b,c from table1 where city like '%$value$%',传入参数后: valu
Mybatis中的${}#{}区别
web18484626332的博客
08-02 9076
动态sql是mybatis的主要特性之一,在mapper中定义的参数传到xml中之后,在查询之前,mybatis会对其进行动态解析mybatis为我们提供了两种支持动态sql的语法#{}以及${}提示以下是本篇文章正文内容,下面案例可供参考。...
Mybatis#{}${}的区别
洋成林
05-12 4150
1、生成执行sql以及sql安全方面: (1)使用#{}格式的语法,在mybatis中会使用Preparement语句来安全地设置值,跟踪断点会看到即将执行的sql中用“?”做占位符,执行sql类似于   PreparedStatement ps = conn.prepareStatement(sql); ps.setInt(1,id);   同时,#{}写法会将传入的数据都当成一个字...
彻底搞懂MyBaits中#{}${}的区别
緑水長流*z
07-11 3万+
MyBatis的`#{}`之所以能够预防SQL注入是因为底层使用了`PreparedStatement`类的`setString()`方法来设置参数,此方法会获取传递进来的参数的每个字符,然后进行循环对比,如果发现有敏感字符(如:单引号、双引号等),则会在前面加上一个`'/'`代表转义此符号,让其变为一个普通的字符串,不参与SQL语句的生成,达到防止SQL注入的效果。 **其次`${}`本身设计的初衷就是为了参与SQL语句的语法生成**,自然而然会导致SQL注入的问题(不会考虑字符过滤问题)。
MyBatis#{} ${} 的区别
liuyuinsdu的专栏
03-12 1487
1、在MyBatis 的映射配置文件中,动态传递参数有两种方式: (1)#{}占位符 (2)${}拼接符 2、#{}${}的区别 (1) 1)#{}为参数占位符?,即sql 预编译 2)${}为字符串替换,即sql 拼接 (2) 1)#{}:动态解析 ->预编译-> 执行 2)${}:动态解析 ->编译-> 执行 (3) 1)#{}的变量替换是在DBMS中 2)${}的变量替换是在DBMS外 (4) 1)变量替换后,...
MyBatis#{}与${}的区别
qq_55961709的博客
05-05 268
MyBatis#{}与${}的区别
mybatis#$区别
12-30
### MyBatis 中 `#` `$` 符号的区别 #### 占位符功能差异 在 MyBatis 中,`#{}` `${}` 都可以作为占位符来插入参数到 SQL 语句中。然而两者的工作机制存在显著不同。 当使用 `#{}` 形式的占位符时,MyBatis 将其视为预处理语句 (PreparedStatement) 的参数绑定方式[^1]。这意味着实际的 SQL 发送到数据库之前会先由 JDBC 进行一次转义处理,从而有效防止 SQL 注入攻击的发生。 而采用 `${}` 方式,则是直接替换模板中的变量名为其对应的值字符串,并不做任何额外的安全检查或转换操作[^2]。因此,在某些特殊情况下可能会引入潜在风险。 #### 使用场景对比 由于上述特性上的差别,这两种语法适用于不同的编程环境: - 对于大多数常规查询条件构建而言,推荐优先选用 `#{}` 结构以增强应用程序的整体安全性; - 当遇到一些无法通过标准 API 实现的需求——比如表名、列名动态指定等情况时,则可能不得不借助 `${}` 完成相应逻辑编码工作;不过此时应当格外谨慎对待输入验证环节[^3]。 #### 示例代码展示 下面给出一段简单的例子说明如何分别运用这两种表达形式编写 Mapper XML 文件内的 SELECT 语句: ```xml <!-- 正确做法 --> <select id="findUserById" parameterType="int" resultType="com.example.User"> SELECT * FROM users WHERE user_id = #{userId} </select> <!-- 错误示范:容易遭受注入威胁 --> <select id="findByTableName" parameterType="string" resultType="map"> SELECT * FROM ${tableName} <!-- 不建议这样写 --> </select> ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值