mybatis中的#{}和${}的区别_预编译和动态解析-优快云博客

本文链接：https://blog.youkuaiyun.com/jackzhang1996/article/details/105095902

mybatis中的#{}和${}扮演不同角色。#{}是预编译占位符，防止SQL注入，而${}进行字符串替换，可能导致SQL注入。建议尽可能使用#{}，但在表名作为变量时，需使用${}避免语法错误。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

mybatis中的#{}和${}的区别

FIRST

首先要搞清楚两个概念：动态解析和预编译。动态解析可以理解为mybatis将mapper中的sql解析为预编译语句可以认识的预编译sql；预编译就是PreparedStatement对sql进行编译，变为DBMS可以直接执行的sql。

SECOND

#{}是占位符、防止sql注入，mybatis在动态解析的时候会将#{} 替换为? 然后用PreparedStatement的set方法设置值，该set方法会对传进来的参数进行转义，将一些注入特殊字符和注入的sql进行过滤

    解析前：select * from user_info where user_no = #{} and user_name = #{}
    解析后：select * from user_info where user_no = ? and user_name = ?

&{}是sql拼接符,仅仅为一个string的替换，在动态sql解析的时候会进行变量替换。

    解析前：select * from user_info where user_no = ${}
    解析后：select * from user_info where user_no = 111 and user_name = 123
    如果mapper中传入的参数user_no = ' 1 Or true --',就会查所有用户信息；要注意传递的参数'*'，并不代表传递的就是带单引号的，只是为了让你能看清这是个字符串，所以才会加上单引号，但其实其本身并没有单引号，除非是'\'*\''

综上所述：${} 变量替换是在动态sql解析阶段，而#{}变量替换是在DBMS中。
能使用#{}的地方就使用#{}，并且具有相同的预编译sql可以重复利用，也防止sql注入优势。
表名作为变量时，必须使用 ${}，这是因为表名是字符串，使用sql占位符替换字符串时会带上单引号，会导致sql语法错误。使用$ {}拼接符在动态编译阶段拼接之后的表名就会没有单引号。