【无标题】#{} 说：“我帮你防 SQL 注入！” ${} 说：“我让你自由飞翔！” (然后就被注入了),从零基础到精通，收藏这篇就够了！

原创于 2025-03-21 14:31:05 发布 · 897 阅读

12 ·

CC 4.0 BY-SA版权

文章标签：

#sql #tomcat #数据库 #学习 #web安全 #网络安全 #java

这篇文章是用来详细讲解MyBatis中#{}和${}的作用、区别以及使用场景。

1. 作用

#{} (PreparedStatement)： 用于参数占位符，MyBatis会将#{}解析为?，然后使用PreparedStatement来设置参数值。这是一种预编译的方式。
${} (Statement)： 用于字符串替换，MyBatis会将${}直接替换为变量的值。这是一种字符串拼接的方式。

2. 区别

特性	`#{}` (PreparedStatement)	`${}` (Statement)
安全性	高，防止SQL注入	低，易受SQL注入影响
预编译	是，预编译SQL语句	否，直接拼接SQL语句
数据类型	自动处理数据类型	字符串类型，需要手动处理
适用场景	大部分场景，参数传递	动态表名、排序字段等
性能	较高，可重用预编译语句	较低，每次都需要编译

详细解释：

安全性： #{}使用预编译，会将参数值进行转义，防止恶意SQL注入。${}直接将变量值拼接到SQL语句中，如果变量值包含恶意代码，就可能导致SQL注入。
预编译： #{}使用PreparedStatement，SQL语句在执行前会被预编译，数据库会缓存预编译后的语句，下次执行相同的语句时，可以直接使用缓存，提高性能。${}每次都需要重新编译SQL语句。
数据类型： #{}会自动处理数据类型，例如将Java的Integer类型转换为数据库的INT类型。${}会将所有变量值都视为字符串类型，如果需要传递其他类型的数据，需要手动进行类型转换。
适用场景： #{}适用于大部分场景，特别是需要传递参数值的情况。${}适用于动态表名、排序字段等不需要进行预编译的场景。
性能： #{}由于预编译和语句缓存，性能通常比${}更高。

3. 使用场景

接下来我们用MyBatis-Plus来写代码示例，展示#{}和${}的使用场景。

注意： MyBatis-Plus 简化了 MyBatis 的很多操作，但底层仍然是 MyBatis，所以 #{} 和 ${} 的基本原理和区别仍然适用。

1. #{} 的使用场景 (MyBatis-Plus 风格)

传递参数值： 根据用户ID查询用户信息。

// 假设 UserMapper 继承了 BaseMapper<User>
@Mapper
public interface UserMapper extends BaseMapper<User> {
    @Select("SELECT * FROM users WHERE id = #{id}")
    User getUserById(@Param("id") int id);
}

// 使用
@Autowired
private UserMapper userMapper;

public void testGetUserById() {
    int userId = 123;
    User user = userMapper.getUserById(userId);
    System.out.println(user);
}

解释：

@Select 注解直接定义了 SQL 语句。
#{id} 仍然是参数占位符，MyBatis-Plus 会自动处理。
@Param("id") 指定了参数名称，与 #{id} 对应。

插入数据：

// UserMapper 接口 (继承 BaseMapper<User>)
@Mapper
public interface UserMapper extends BaseMapper<User> {
    // 不需要额外注解，BaseMapper 提供了 insert 方法
}

// 使用
@Autowired
private UserMapper userMapper;

public void testInsertUser() {
    User newUser = new User();
    newUser.setUsername("testuser");
    newUser.setEmail("test@example.com");
    userMapper.insert(newUser); // MyBatis-Plus 提供的 insert 方法
}

解释：

MyBatis-Plus 的 BaseMapper 提供了通用的 insert 方法，无需手动编写 SQL。
#{} 在 User 对象的属性中自动匹配，将 username 和 email 的值插入到 SQL 语句中。

更新数据：

// UserMapper 接口 (继承 BaseMapper<User>)
@Mapper
public interface UserMapper extends BaseMapper<User> {
    // 不需要额外注解，BaseMapper 提供了 updateById 方法
}

// 使用
@Autowired
private UserMapper userMapper;

public void testUpdateUser() {
    User updatedUser = new User();
    updatedUser.setId(123); // 必须设置 ID，否则无法更新
    updatedUser.setUsername("newusername");
    updatedUser.setEmail("newemail@example.com");
    userMapper.updateById(updatedUser); // MyBatis-Plus 提供的 updateById 方法
}

解释：

BaseMapper 提供了 updateById 方法，根据 ID 更新数据。
#{} 在 User 对象的属性中自动匹配，将 username 和 email 的值更新到 SQL 语句中。

2. ${} 的使用场景 (MyBatis-Plus 风格)

动态表名： 根据不同的条件查询不同的表。

// UserMapper 接口
@Mapper
public interface UserMapper extends BaseMapper<User> {
    @Select("SELECT * FROM ${tableName} WHERE id = #{id}")
    User getDataFromTable(@Param("tableName") String tableName, @Param("id") int id);
}

// 使用
@Autowired
private UserMapper userMapper;

public void testGetDataFromTable() {
    String tableName = "users"; // 确保 tableName 是安全的
    int id = 123;
    User user = userMapper.getDataFromTable(tableName, id);
    System.out.println(user);
}

解释：

${tableName} 直接将 tableName 的值拼接到 SQL 语句中。
务必确保 tableName 是安全的，防止 SQL 注入。

动态排序字段： 根据不同的字段进行排序。

// UserMapper 接口
@Mapper
public interface UserMapper extends BaseMapper<User> {
    @Select("SELECT * FROM users ORDER BY ${sortField}")
    List<User> getAllUsers(@Param("sortField") String sortField);
}

// 使用
@Autowired
private UserMapper userMapper;

public void testGetAllUsers() {
    String sortField = "username"; // 确保 sortField 是安全的
    List<User> users = userMapper.getAllUsers(sortField);
    System.out.println(users);
}

解释：

${sortField} 直接将 sortField 的值拼接到 SQL 语句中。
务必确保 sortField 是安全的，防止 SQL 注入。

重要提示：

永远优先使用#{}，除非你明确知道${}是安全的并且是必要的。
在使用${}时，务必对变量值进行严格的校验和过滤，防止SQL注入。 可以使用白名单机制，只允许特定的值通过。
避免将用户输入直接传递给${}，这几乎肯定会导致SQL注入。

总结：

#{}是安全的、预编译的参数占位符，适用于大部分场景。${}是字符串替换，适用于动态表名、排序字段等特殊场景，但需要非常小心SQL注入风险。在实际开发中，应该尽量避免使用${}，如果必须使用，一定要做好安全措施。

网络安全学习路线&学习资源

在这里插入图片描述

网络安全的知识多而杂，怎么科学合理安排？

下面给大家总结了一套适用于网安零基础的学习路线，应届生和转行人员都适用，学完保底6k！就算你底子差，如果能趁着网安良好的发展势头不断学习，日后跳槽大厂、拿到百万年薪也不是不可能！

初级网工

1、网络安全理论知识（2天）

①了解行业相关背景，前景，确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。（非常重要）

2、渗透测试基础（一周）

①渗透测试的流程、分类、标准
②信息收集技术：主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理，利用方法、工具（MSF）、绕过IDS和反病毒侦察
④主机攻防演练：MS17-010、MS08-067、MS10-046、MS12-20等

3、操作系统基础（一周）

①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全（系统入侵排查/系统加固基础）

4、计算机网络基础（一周）

①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析（HTTP、TCP/IP、ARP等）
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御：主动/被动攻击、DDOS攻击、CVE漏洞复现

5、数据库基础操作（2天）

①数据库基础
②SQL语言基础
③数据库安全加固

6、Web渗透（1周）

①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具：Nmap、BurpSuite、SQLMap、其他（菜刀、漏扫等）

恭喜你，如果学到这里，你基本可以从事一份网络安全相关的工作，比如渗透测试、Web 渗透、安全服务、安全分析等岗位；如果等保模块学的好，还可以从事等保工程师。薪资区间6k-15k

到此为止，大概1个月的时间。你已经成为了一名“脚本小子”。那么你还想往下探索吗？

【“脚本小子”成长进阶资源领取】

7、脚本编程（初级/中级/高级）

在网络安全领域。是否具备编程能力是“脚本小子”和真正黑客的本质区别。在实际的渗透测试过程中，面对复杂多变的网络环境，当常用工具不能满足实际需求的时候，往往需要对现有工具进行扩展，或者编写符合我们要求的工具、自动化脚本，这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中，想要高效地使用自制的脚本工具来实现各种目的，更是需要拥有编程能力.

零基础入门，建议选择脚本语言Python/PHP/Go/Java中的一种，对常用库进行编程学习；搭建开发环境和选择IDE,PHP环境推荐Wamp和XAMPP， IDE强烈推荐Sublime； ·Python编程学习，学习内容包含：语法、正则、文件、网络、多线程等常用库，推荐《Python核心编程》，不要看完； ·用Python编写漏洞的exp,然后写一个简单的网络爬虫； ·PHP基本语法学习并书写一个简单的博客系统；熟悉MVC架构，并试着学习一个PHP框架或者Python框架 (可选)； ·了解Bootstrap的布局或者CSS。

8、超级黑客

这部分内容对零基础的同学来说还比较遥远，就不展开细说了，贴一个大概的路线。感兴趣的童鞋可以研究一下，不懂得地方可以【点这里】加我耗油，跟我学习交流一下。

网络安全工程师企业级学习路线

如图片过大被平台压缩导致看不清的话，可以【点这里】加我耗油发给你，大家也可以一起学习交流一下。

一些我自己买的、其他平台白嫖不到的视频教程：

需要的话可以扫描下方卡片加我耗油发给你（都是无偿分享的），大家也可以一起学习交流一下。

在这里插入图片描述

结语

网络安全产业就像一个江湖，各色人等聚集。相对于欧美国家基础扎实（懂加密、会防护、能挖洞、擅工程）的众多名门正派，我国的人才更多的属于旁门左道（很多白帽子可能会不服气），因此在未来的人才培养和建设上，需要调整结构，鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”，才能解人才之渴，真正的为社会全面互联网化提供安全保障。