#{}与${}的区别

最新推荐文章于 2025-10-29 11:12:05 发布
转载 最新推荐文章于 2025-10-29 11:12:05 发布 · 1.7w 阅读 · 33

经常碰到这样的面试题目:#{}和${}的区别是什么?

网上的答案是:#{}是预编译处理,$ {}是字符串替换。mybatis在处理#{}时,会将sql中的#{}替换为?号,调用PreparedStatement的set方法来赋值;mybatis在处理 $ { } 时,就是把 ${ } 替换成变量的值。使用 #{} 可以有效的防止SQL注入,提高系统安全性。

对于这个题目我感觉要抓住两点:
(1)$ 符号一般用来当作占位符,常使用Linux脚本的人应该对此有更深的体会吧。既然是占位符,当然就是被用来替换的。知道了这点就能很容易区分$和#,从而不容易记错了。
(2)预编译的机制。预编译是提前对SQL语句进行预编译,而其后注入的参数将不会再进行SQL编译。我们知道,SQL注入是发生在编译的过程中,因为恶意注入了某些特殊字符,最后被编译成了恶意的执行操作。而预编译机制则可以很好的防止SQL注入。

最后想说的是,对于mybatis 以及 sql 而言,每一个考点背后都是有一个深刻的思想存在的,应该好好的体会。这样才能真正的做到技术提升,成为技术大牛。

新人一看就懂: #{} 和 ${} 的区别
CYK_byte的博客
03-01 1万+
1、#{} 是预编译处理,${} 是直接替换;2、${} 存在SQL注入的问题,而 #{} 不存在;Ps:这也是面试主要考察的部分~
#{} 和 ${} 的区别--详细
03-26 3万+
#{}和${}这两个语法是为了动态传递参数而存在的,是Mybatis实现动态SQL的基础,总体上他们的作用是一致的(为了动态传参),但是在编译过程、是否自动加单引号、安全性、使用场景等方面有很多不同,下面详细比较两者间的区别: 一、区别汇总 1.编译过程 #{} 是 占位符 :动态解析 ->预编译-> 执行 ${} 是 拼接符 :动态解析 -> 编译-&......
#{}和${}的区别
m0_54861649的博客
07-27 930
2.Mybatis在处理#{}的时候会将sql中的#{}替换成?{}没有这个功能,可以是sql手动拼接的,这里前后逻辑可能并不严密,但是sql入去最简单的例子就是这样。在使用mybatis的时候我们会使用到#{}和${}这两个符号来为sql语句传参数。4.#{}的变量替换是在DBMS中、变量替换后,#{}对应的变量自动加上单引号。1.#{}是预编译处理,是占位符,${}是字符串替换,是拼接符。6.使用#{}可以有效的防止sql注入,提高系统的安全性。{}替换成变量的值,调用Statement来赋值。...
Mybatis中#$区别
最新发布
m0_64630668的博客
10-29 502
特性#{}${}处理方式预编译,替换为?占位符直接字符串替换,拼接 SQL安全性防 SQL 注入(安全)存在 SQL 注入风险(不安全)参数类型自动加引号(字符串类型)需手动加引号(字符串类型)适用场景大多数参数传递(用户输入)动态 SQL 结构(表名、排序字段等)最佳实践:优先使用#{},仅在必须动态拼接 SQL 结构时使用${},且务必对${}的参数进行严格校验(如白名单限制)。
Mybatis中的 ${} 和 #{}区别用法
热门推荐
j04110414的专栏
12-27 6万+
Mybatis 的Mapper.xml语句中parameterType向SQL语句传参有两种方式:#{}和${} 我们经常使用的是#{},一般解说是因为这种方式可以防止SQL注入,简单的说#{}这种方式SQL语句是经过预编译的,它是把#{}中间的参数转义成字符串,举个例子: select * from student where student_name = #{name}  预编译后,会动
mybatis #{}和${}的区别是什么
weixin_30895603的博客
04-16 1684
#{}和${}的区别是什么?正确的答案是:#{}是预编译处理,${}是字符串替换。(1)mybatis在处理#{}时,会将sql中的#{}替换为?号,调用PreparedStatement的set方法来赋值。(2)mybatis在处理${}时,就是把${}替换成变量的值。(3)使用#{}可以有效的防止SQL注入,提高系统安全性。原因在于:预编译机制。预编译完成之后,SQL的结构已经固定,即便用户输...
浅谈Mybatis #$区别以及原理
08-18
浅谈Mybatis #$区别以及原理 Mybatis是一款流行的持久层框架,它提供了两个占位符:#$,它们均用于参数化SQL语句,但是它们的作用和原理却有所不同,本文将详细介绍这两者的区别和原理。 #$区别 在...
Mabitis中的#$符号区别及用法介绍
08-31
一、`#``$`的区别 1. `#{}`:MyBatis将`#{}`视为PreparedStatement的参数标记符。当SQL语句中的`#{}`被解析时,它会被替换为一个问号`?`,成为一个预编译参数。例如,`select * from user where name = #{name};`...
Mybatis下动态sql中##$$区别讲解
08-26
Mybatis下动态sql中##$$区别讲解 Mybatis是一款流行的ORM框架,能够帮助开发者快速构建数据库交互应用程序。在Mybatis中,动态SQL是一种强大特性,能够根据不同的输入参数生成不同的SQL语句。在Mybatis中,使用...
Mybatis中#{}和${}传参的区别#$区别小结
09-02
在MyBatis框架中,`#{}`和`${}`是两种不同的参数占位符,它们在处理传参时有着显著的差异,同时也关联到`#`和`$`的区别。理解这些差异对于编写安全且高效的SQL查询至关重要。 首先,`#{}`是MyBatis的预编译参数占位...
mysql中#$区别
weixin_43740680的博客
01-02 7620
上网看了好多博客,大多都一个意思,但是自己好像没怎么彻底理解具体原因,只是大概知道几个点还是记下的,并未理解。 最后看到https://blog.youkuaiyun.com/qq_35978746/article/details/54944644算是明白了其中的道理; 总结下来就以下这麽几点: 1:# 自己会带有双引号,$并不会 2:${ } 变量的替换阶段是在动态 SQL 解析阶段,而 #{ }在动态解析...
#{}和${}的区别是什么?
mischen520的博客
10-16 580
#{}是预编译处理、是占位符, {}是字符串替换、是拼接符 Mybatis 在处理#{}时,会将 sql 中的#{}替换为?号,调用 PreparedStatement 来赋值; Mybatis 在处理时,就是把{}时, 就是把时,就是把{}替换成变量的值,调用 Statement 来赋值; #{} 的变量替换是在DBMS 中、变量替换后,#{} 对应的变量自动加上单引号 的变量替换是在DBMS外、变量替换后,{} 的变量替换是在 DBMS 外、变量替换后,的变量替换是在DBMS外、变量替换后,{} 对应的
#{} 和 ${} 的区别
weixin_45817985的博客
07-13 4005
#{}${}
#{} ${}区别
qq_41123200的博客
08-26 193
#{}:转义时会加“ ”。 因为不能直接拼接sql语句,使用sql注入攻击无效,例如:在输入网址进行sql攻击时输入参数是无效的,因为不能直接拼接sql语句也就不能查询数据库获取敏感信息,而是要通过参数的形式进行转义,     #将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。       例如:order by #{parameterName} //或取Map中的valu...
#{}${}区别
u013514816的博客
08-07 3286
项目中传入表名称时用#{tableName}及时间比较时用${time}出现错误,于是搜了下两者的区别: MyBatis中使用parameterType向SQL语句传参,parameterType后的类型可以是基本类型int,String,HashMap和java自定义类型。     在SQL中引用这些参数的时候,可以使用两种方式#{parameterName}或者${parameterNam...
#{} 和 ${}区别
baishancha的博客
07-03 4758
{} 和 ${}区别 #{}在引用时,如果发现目标是一个字符串,则会将其值作为一个字符串拼接在sql上,即拼接时自动包裹引号 ${}在引用时,即使发现目标是一个字符串,也不会作为字符串处理,拼接在sql时不会自动包裹引号 例如: 所以通常情况下,使用#{} insert into user values (null,#{name},55); --> insert into user valu...
#{}和${}的区别
weixin_50977434的博客
11-10 2634
简单明了实用
#{} 和 ${}的区别
weixin_41962432的博客
09-27 867
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。 ...
mysal语句中#$的作用
03-28
<think>好的,我现在需要回答用户关于MySQL中#$符号的作用及用法的问题。首先,我应该回忆一下之前学过的相关知识,或者查阅参考资料。用户提供了五个引用内容,我需要仔细阅读这些内容,确保正确理解后再进行回答。 根据引用[1],#$都可以用于动态SQL的拼接,但用法有差异。引用[4]详细说明了两者的区别#{}是占位符,可以防止SQL注入,替换结果会加单引号;而${}用于SQL拼接,不会加单引号,可能导致SQL注入,需要手动过滤。比如,表名不能加单引号,但可以使用反引号,这点在引用[3]中提到。引用[5]展示了一个SQL注入的例子,说明使用$时如果处理不当会导致安全问题。 接下来,我需要将这些信息整理成一个结构清晰的回答。首先解释两者的基本作用,然后分别详细说明它们的用法、区别以及注意事项。特别是要强调安全性的问题,比如为什么在某些情况下使用$会有风险,而#更安全。同时,要举例子说明在不同场景下如何正确使用这两个符号,比如参数传递和动态表名的处理。 在组织内容时,需要按照用户的要求,使用中文回答,行内公式用$...$格式,独立公式用$$...$$,但这里可能不太涉及数学公式,所以重点放在代码示例和文字说明上。同时,生成相关问题部分需要考虑用户可能进一步想知道的内容,比如如何防止注入、实际应用场景等。 需要确保引用正确,每个引用标识对应到正确的引用内容,比如引用[4]主要讲两者的区别,引用[5]关于注入的例子。最后检查是否有遗漏的信息,或者有没有错误的理解,比如表名是否需要反引号而不是单引号,这一点在引用[3]中确实提到,应该正确引用。 可能还需要考虑用户的实际使用场景,比如在MyBatis中使用这两个符号的情况,因为通常在MyBatis中会遇到#$区别。所以在回答中可以提到这是在动态SQL中的使用,比如MyBatis框架中的应用,这样用户更容易理解上下文。 总结起来,回答的结构应该是: 1. 基本作用概述 2. #符号的详细说明(防注入、加单引号、适用场景) 3. $符号的详细说明(拼接、不加单引号、风险及适用场景) 4. 示例对比 5. 使用注意事项和安全建议 6. 相关问题生成 确保每个部分都准确引用提供的资料,并且语言通俗易懂,结构清晰。最后生成的相关问题要围绕主题展开,帮助用户深入理解,比如优化方法、注入防范等。</think>### MySQL 中 `#{}` 和 `${}` 的作用及用法 #### 1. 基本作用 在 MySQL 的动态 SQL 拼接中,`#{}` 和 `${}` 是两种参数占位符,用于将外部输入的值嵌入 SQL 语句。两者的核心差异在于 **安全性** 和 **处理方式**。 #### 2. `#{}` 的作用及用法 - **作用**: `#{}` 是预编译占位符,会将参数值以**安全形式**嵌入 SQL 语句,自动添加单引号并转义特殊字符,从而防止 SQL 注入[^4]。 - **适用场景**: 适用于传递 **具体值**(如字段值、条件值)。 ```sql SELECT * FROM user WHERE name = #{username} ``` 实际执行时会转换为: ```sql SELECT * FROM user WHERE name = &#39;john&#39; ``` #### 3. `${}` 的作用及用法 - **作用**: `${}` 是直接拼接符,将参数值**原样替换**到 SQL 中,不添加单引号,存在 SQL 注入风险[^4]。 - **适用场景**: 仅适用于拼接 **SQL 关键字或结构**(如表名、排序字段)。 ```sql SELECT * FROM ${tableName} ORDER BY ${sortField} ``` 若 `tableName` 为 `user`,则直接替换为: ```sql SELECT * FROM user ORDER BY age ``` #### 4. 关键区别对比 | 特性 | `#{}` | `${}` | |--------------|------------------------------------|------------------------------------| | 安全性 | 防 SQL 注入 | 需手动过滤,存在注入风险[^5] | | 引号处理 | 自动添加单引号 | 原样替换,无引号 | | 适用场景 | 字段值、条件值 | 表名、排序字段、动态 SQL 片段 | #### 5. 使用注意事项 - **禁止滥用 `${}`**: 若将 `${}` 用于字段值(如 `WHERE name = ${value}`),恶意输入 `&#39; OR &#39;1&#39;=&#39;1` 可能导致注入[^5]。 - **表名处理**: 表名若需动态拼接,应使用反引号 `` ` `` 而非单引号 `&#39;`,例如: ```sql SELECT * FROM `${tableName}` -- 正确 SELECT * FROM &#39;user&#39; -- 错误(语法不合法)[^3] ``` #### 6. 示例对比 - **安全用法(`#{}`)**: ```sql SELECT * FROM product WHERE price > #{minPrice} ``` 替换后: ```sql SELECT * FROM product WHERE price > 100 ``` - **高风险用法(`${}`)**: ```sql SELECT * FROM product WHERE name LIKE &#39;%${keyword}%&#39; ``` 若 `keyword` 为 `&#39; OR 1=1 -- `,则语句变为: ```sql SELECT * FROM product WHERE name LIKE &#39;%&#39; OR 1=1 -- %&#39; ```
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值