mybatis：模糊查询 #{ } 与 ${ } 的区别

最新推荐文章于 2025-06-11 14:19:07 发布

飞翔的代码猪

最新推荐文章于 2025-06-11 14:19:07 发布

阅读量759

点赞数

CC 4.0 BY-SA版权

分类专栏： Mybatis 文章标签： mybatis 模糊查询 ${} #{}

本文链接：https://blog.youkuaiyun.com/qq_37476266/article/details/89390792

Mybatis 专栏收录该内容

2 篇文章

订阅专栏

本文详细解析了MyBatis中#与$符号的使用区别，强调了#符号的安全性和预编译特性，对比了$符号的字符串拼接方式可能导致的SQL注入风险。同时，介绍了如何使用#进行模糊查询及大小写不敏感查询的方法。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

建议使用#{} 因为 ${} 有sql注入的风险。。。

1.当时#时，简单的变量传输。相当于preparestatement 使用 ’ ? ’ 占位，然后再传值。

where   name  like  #{ “张_” }

2.如果是$时,如果参数是单值属性，并且只有一个参数，那么参数必须使用固定词 value 占位
${ } 只是简单的字符串拼接，需要注意加引号‘ ’

where   name  like  ' ${ value } '    //模糊，或者不模糊

where   name  like  ' %${ value } %'     //纯模糊查询

3.不区分大小写转换的查找，使用sql转换函数
lower 、 upper

where  lower（ name ） like   lower（  ' %${ value } %' ）

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

飞翔的代码猪

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

MyBatis中#和$符的区别，sql注入问题，动态sql语句

m0_73381672的博客

02-06

1913

#{}和${}都是MyBatis提供的sql参数替换。区别是： #{}是预编译处理，${}是字符串直接替换。 #{}可以防止SQL注入，${}存在SQL注入的风险，例如 “' or 1='1” 虽然存在SQL注入风险，但也有自己的适用场景，比如排序功能，表名，字段名等作为参数传入时。 #{}模糊查询要搭配使用mysql内置的拼接函数concat，安全性高。模糊查询虽然${}可以完成，但是存在SQL注入，不安全。

MyBatis - #{} 和 ${}

m0_74859835的博客

09-21

897

mybatis - #{ } 和 ${ } 的使用区别，预编译SQL 和即时SQL 的优缺点，及SQL注入问题

参与评论您还未登录，请先登录后发表或查看评论

使用$符号进行模糊查询，不用#

Richard_666的博客

12-08

468

<select id="queryAllVideo" resultMap="BaseResultMap" parameterType="String"> select v.*,u.face_image as face_image,u.nickname as nickname from video v left join users u on u.id=v.user_id...

模糊查询要用 $符号

chuangmao7450的博客

06-27

952

<if test=" search !=null and search !='' "> AND CONCAT( IFNULL(zsci.clean_name,''), ...

mybatis 使用like时，如何防止sql注入

最新发布

2301_78710520的博客

06-11

218

会导致 SQL 注入风险。适用于 XML 中需要动态处理参数的场景。：优先使用 Java 手动拼接或。：在 Java 代码中手动拼接。在 MyBatis 中使用。时，若直接拼接参数（如。，MyBatis 中使用。若需要在 SQL 中拼接。

Mybatis模糊查询“#{}”与“${}”的使用区别

qq_38763540的博客

02-06

741

使用“#{}”的SQL语句： select * from user where username like #{name} 实际生成语句：使用“${}”的SQL语句 select * from user where username like '%${value}%' 实际生成语句对比区别： “#{}”使用的PreparedStatement的参数占位符，...

Mybatis入门教程

qq_38815856的博客

09-01

3865

目录 1. 配置环境 1.1 导入jar 1.2 配置连接 2. mybatis的简单创建 3. mybatis的执行流程 4. 更多操作用例 5. 动态sql 5.1 利用if语句查询 5.2利用choose语句查询 5.3 "trim"标签的使用 5.4 更新 5.5 批量删除 6. 逆向工程 6.1 generator.xml配置 6.2 实现类 7. 逆向...

MySQL 以及 mybatis plus 常用

HouYing

08-19

909

mybatis plus调用默认的更新操作方法时，不更新值为空，null或默认值等得属性字段，只更新值为非null，非空非默认值的属性字段。如果要更新null值 @TableField(updateStrategy = FieldStrategy.IGNORED ) private String redirect; ...

Mybatis模糊查询用#和$什么区别

03-28

Mybatis模糊查询可以使用LIKE关键字来实现。在SQL语句中使用LIKE关键字可以做到模糊匹配，比如在查询名字中包含“张”的用户时，可以使用如下语句： SELECT * FROM users WHERE name LIKE '%张%' 其中%表示通配符...

18.＜Mybatis补充（$和#的区别+数据库连接池）＞

m0_73456341的博客

10-23

1957

详解了 1.$和#的区别 2.数据库连接池。 3.简单了解MySQL企业开发规范

MyBatis中#和$区别？

你只管努力，

11-25

437

1.#是占位符。 $是用来拼接字符，虽然也是占位但是做不了字符的转换。#自动转换日常报标识符无效的异常 2.#直接获取属性名称 $首先去获取properties文件的属性名称，没有的话再去对象或者参数中找。 3.#占位符 $拼接字符串，容易出现SQL注入。为什么要引入$符号？因为当数据库非常大的时候需要进行分库和分表，数据量大的时候#无法处理这时候就需要$来处理了。传...

mybatis函数toLowerCase/toUpperCase/toString使用

小馒头味的博客

04-08

2561

.toLowerCase()转化为小写 .toUpperCase()转化为大写 <if test="'Admin'.toLowerCase() == 'admin'"> and id = 4000 </if> .toString()是转化为字符串 <if test="readState != null and readState.toString() == '...

记录在mybatis中使用LOWER(）与LIKE实现模糊查询并且不区分大小写

weixin_46300114的博客

05-15

371

ILIKE 默认依赖数据库的排序规则（collation），若需特殊字符（如中文）支持，需确保数据库使用 UTF8 编码。使用LOWER()函数可实现。

Mybatis的模糊查询中${}和#{}的区别

weixin_56950910的博客

12-20

sql注入底层 jdbc类型转换单个简单类型的参数。$ 不防止 Statement 不转换 value。# 防止 preparedStatement 转换任意。结论：除模糊匹配外，杜绝使用${}

Mybatis自定义Sql模板语法

hpg0412的博客

11-09

3208

Mybatis自定义Sql模板语法

mybatis中模糊查询like的四种用法

qq_59125846的博客

05-22

2113

解析成sql语句时候，会在变量外侧自动加单引号’ '，所以这里 % 需要使用双引号" "，不能使用单引号 ’ '，不然会查不到任何结果。使用CONCAT()函数，可能引起SQL注入，

MyBatis之Like模糊查询的两种实现方式

yuanjinshenglife的专栏

02-15

3292

MyBatis之Like模糊查询的两种实现方式

[MyBatis]模糊查询LIKE的三种方式

SayBlog

05-11

1902

直接传参法，就是将要查询的关键字keyword,在代码中拼接好要查询的格式，如%keyword%,然后直接作为参数传入mapper.xml的映射文件中。MySQL的 CONCAT（）函数用于将多个字符串连接成一个字符串，是最重要的mysql函数之一。在Dao层指定各个参数的别名。执行出来的SQL语句。

MyBatis 之三（查询操作占位符#{} 与 ${}、like查询、resultMap、association、collection）

m0_58761900的博客

02-18

2254

进行一对一查询，需要使用 association 标签，表示一对一的结果映射，其中 property 属性：指定其中所要一对一的那个属性 resultMap 属性：指定那个属性所关联的结果集映射 columnPrefix 属性：用来解决多表中相同字段数据覆盖的问题和一对一标签类似，一对多也需要标签，来表示一对多的结果映射其中也是需要设置 property（对象中的属性名）、resultMap（映射对象对应的字典）、columnPrefix（一般不要省略，解决了多张表中相同字段查询数据覆盖的问题）

mybatis：模糊查询 #{ } 与 ${ } 的 区别

mybatis：模糊查询 #{ } 与 ${ } 的区别