MyBatis中#{} 和 ${}有什么区别?

最新推荐文章于 2025-03-22 10:45:52 发布
最新推荐文章于 2025-03-22 10:45:52 发布
阅读量636 收藏 20
点赞数 13
CC 4.0 BY-SA版权
文章标签: mybatis 服务器 java ide spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_64656621/article/details/137481124
本文主要介绍MyBatis中#{}和${}的使用及区别。#{}使用预编译SQL,通过?占位,会自动拼接引号,性能高;${}是直接字符替换,存在SQL注入风险。同时说明了${}在排序、表名和字段名作为参数、like查询等场景的应用及解决办法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1.#{} 和 ${} 的使用

1.1参数为Integer类型

image.png
image.png
观察打印日志:
输⼊的参数并没有在后⾯拼接,id的值是使⽤ ? 进⾏占位. 这种SQL 我们称之为"预编译SQL"
image.png
将 #{} 改为 ${}:
image.png
image.png
观察打印的日志:
即时SQL
image.png

1.2参数为String类型

image.png
image.png
打印日志:
image.png
将 #{} 改为 ${}:
image.png
image.png
打印日志:
image.png
参数依然是直接拼接在SQL语句中了, 但是字符串作为参数时, 需要添加引号 ’ ’ , 使⽤ ${} 不会拼接引号 ’ ’ , 导致程序报错:
image.png
image.png

2.#{} 和 ${} 的区别

#{} 使⽤的是预编译SQL, 通过 ? 占位的⽅式, 提前对SQL进⾏编译, 然后把参数填充到SQL语句中。 #{} 会根据参数类型, ⾃动拼接引号 ‘’${} 是直接进⾏字符替换, ⼀起对SQL进⾏编译. 如果参数为字符串, 需要加上引号 ‘’。

  1. #是预编译SQL,$是即时SQL,#性能更高

image.png
绝⼤多数情况下, 某⼀条 SQL 语句可能会被反复调⽤执⾏, 或者每次执⾏的时候只有个别的值不同(⽐如 select 的 where ⼦句值不同, update 的 set ⼦句值不同, insert 的 values 值不同)。如果每次都需要经过上⾯的语法解析, SQL优化、SQL编译等,则效率就明显不⾏了。
预编译SQL,编译⼀次之后会将编译后的SQL语句缓存起来,后⾯再次执⾏这条语句时,不会再次编译(只是输⼊的参数不同), 省去了解析优化等过程, 以此来提⾼效率。

  1. $ 存在SQL注入的风险

SQL注⼊:是通过操作输⼊的数据来修改事先定义好的SQL语句,以达到执⾏代码对服务器进⾏攻击的⽅法。
sql 注⼊代码: ’ or 1='1
image.png
image.png
image.png
image.png
$的使用场景

  1. 排序功能

image.png
image.png
此处 order 参数为String类型, 但是SQL语句中, 排序是不需要加引号 ‘’ 的, 使⽤ #{order} 查询时, desc 前后⾃动给加了引号, 导致 sql 错误:
image.png
改为$:
image.png
image.png
除此之外, 还有表名,字段名作为参数时, 也只能使⽤ ${}

  1. like查询

使用#:
image.png
image.png
image.png
改为$:
image.png
image.png
把 #{} 改成 可以正确查出来,但是{} 可以正确查出来, 但是可以正确查出来,但是{}存在SQL注⼊的问题, 所以不能直接使⽤ ${}。
解决办法: 使⽤ mysql 的内置函数 concat() 来处理,实现代码如下:
image.png
image.png
image.png

mybatis#$使用区别
学无止境
02-27 1156
mybatis#$使用区别
MyBatis#$区别
你只管努力,
11-25 437
1.#是占位符。 $是用来拼接字符,虽然也是占位但是做不了字符的转换。#自动转换 日常报标识符无效的异常 2.#直接获取属性名称 $首先去获取properties文件的属性名称,没有的话再去对象或者参数中找。 3.#占位符 $拼接字符串,容易出现SQL注入。 为什么要引入$符号? 因为当数据库非常大的时候需要进行分库分表, 数据量大的时候#无法处理 这时候就需要$来处理了。传...
Java mybatis SQL获取String类型的值
_binlong的博客
01-15 3042
使用MyBaitis传参数的时候,传入String参数 在使用MyBaitis传参数的时候,传入String参数,在对应的Mapper.xml文件中应该用以下方式获取该String属性的值 <select id="getStudent" resultType="java.lang.String"> select * from student where name = #{...
MyBatis${} #{} 有什么区别
分享Java技术知识,共同成长进步!
09-14 5981
${} #{} 都是 MyBatis 中用来替换参数的,它们都可以将用户传递过来的参数,替换到 MyBatis 最终生成的 SQL 中,但它们区别却是很大的,接下来我们一起来看。 1.功能不同 ${} 是将参数直接替换到 SQL 中,比如以下代码: 最终生成的执行 SQL 如下: 从上图可以看出,之前的参数 ${id} 被直接替换成具体的参数值 1 了。 而 #{} 则是使用占位符的方式,用预处理的方式来执行业务,我们将上面的案例改造为 #{} 的形式,实现代码如下: 最终生成的 S
mybatis${}、#{}String字符串传参的记录
luzaijx的博客
06-25 5979
1、${}#{}1、首先两者都是用来取参的,区别之处在于${}会把传入的参数直接显示,而#{}会把传入的参数加双引号当字符串处理2、${}会有SQL注入的问题,#{}因为是预编译所以能够很大程度防止sql注入。3、能用#{}就不用${}(分情况)。2、String字符串传参今天在测试一个东西的时候发现一个之前一直没有注意到的小细节,mybatis传入字符串参数时,使用${}取值会默认找传入参数类...
mysql ${}#{}的区别
m0_58780961的博客
12-03 838
在这里用到了#{},使用#时: 1、用来传入参数,sql在解析的时候会加上" ",当成字符串来解析 ,如这里role_id = "roleid"; 2、#{}能够很大程度上防止sql注入;
MySQL #{}${}的区别是什么
Flying_Fish_roe的博客
11-08 1570
{}在 MyBatis 中,#{}${}是两种不同的占位符,用于生成 SQL 语句。#{}将参数安全地绑定到 SQL 语句中,防止 SQL 注入,是推荐的使用方式。${}直接将参数插入到 SQL 语句中,存在 SQL 注入风险,应该谨慎使用。开发者在使用 MyBatis 时,应优先考虑使用#{}来处理用户输入的数据,只有在特定需要动态构建 SQL 语句的情况下,且确保数据来源可信时,才使用${}。
MyBatis#$符的区别,sql注入问题,动态sql语句
m0_73381672的博客
02-06 1913
#{}${}都是MyBatis提供的sql参数替换。区别是: #{}是预编译处理,${}是字符串直接替换。 #{}可以防止SQL注入,${}存在SQL注入的风险,例如 “' or 1='1” 虽然存在SQL注入风险,但也有自己的适用场景,比如排序功能,表名,字段名等作为参数传入时。 #{}模糊查询要搭配使用mysql内置的拼接函数concat,安全性高。模糊查询虽然${}可以完成,但是存在SQL注入,不安全。
浅谈Mybatis #$区别以及原理
08-18
浅谈Mybatis #$区别以及原理 Mybatis是一款流行的持久层框架,它提供了两个占位符:#$,它们均用于参数化SQL语句,但是它们的作用原理却有所不同,本文将详细介绍这两者的区别原理。 #$区别 在...
浅谈mybatis中的#$区别
09-02
MyBatis中,`#``$`是用来动态构造SQL语句的占位符,它们的区别主要在于SQL预编译防止SQL注入的能力。理解这两种符号的用法对于编写安全、高效的MyBatis映射文件至关重要。 1. `#`占位符: - `#`将传入的数据...
【mybaits】占位符 mysql 注入 #{} ${} 区别 - 源码
qfzhangwei的专栏
09-26 315
@Update(" update test_zw_sql set name = '${updateName}' where id = ${id}") int updateTestAppendStr(@Param("updateName") String updateName, @Param("id") Integer id); @Update(" update test_zw_sql set name = #{updateName} where id = #{id}") int updateTestPa.
MySQL中#{}${}的区别是什么?
Fover_Night的博客
11-27 1015
MySQL中#{}${}的区别是什么?
Mysql查询指定时间数据+Mybatis#{}${}区别及使用场景
时光、疏离了记忆づ童话的博客
06-21 1586
文章目录Mysql查询时间段数据MySQL 日期格式 Mysql查询时间段数据 今天 select * from 表名 where to_days(时间字段名) = to_days(now()); 昨天 SELECT * FROM 表名 WHERE TO_DAYS( NOW( ) ) - TO_DAYS( 时间字段名) <= 1 近7天 SELECT * FROM 表名 where DATE_SUB(CURDATE(), INTERVAL 7 DAY) <= date(时间字段名) 近30
详解MySql#{}${}占位符
weixin_72125569的博客
09-08 5262
#{}${}占位符 MySql处理sql语句过程 注入问题
Mybatis#{}${}的用法
li_w_ch的博客
11-17 1万+
1、#{}将传入的数据当作一个字符串,会对传入的数据加上一个双引号。 比如, select * from student where student_name = #{studentName} 如果传入的值为xiaoming,那么解析成sql的值为student_name="xioming"。 2、${}将传入的数据直接显示生成在sql中。 如 : select ${fieldNmae} from student where student_age = 18 此时,传入的参数作为要查询的字
MyBaits中#{}${}的真正区别${}的使用场景
2401_85767411的博客
06-28 1036
小编这些年深知大多数初中级工程师,想要提升自己,往往是自己摸索成长,自己不成体系的自学效果低效漫长且无助。因此我收集整理了一份《2024年Java全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!如果你需要这些资料,⬅专栏获取。
MyBatis参数赋值技巧:#{} ${} 的区别与实践
最新发布
2302_81090306的博客
03-22 978
这篇文章讲解了#{}${}的使用区别#{} 是更安全、高效且最常用的参数赋值方式,而 ${} 则适用于需要动态生成 SQL 的特殊场景。合理选择两者,有助于提升应用的安全性性能,
《深入理解mybatis原理(十二)》 mybatis深入理解之#$区别
热门推荐
pfnie的博客
11-19 1万+
一、介绍       mybatis 中使用 Mapper.xml里面的配置进行 sql 查询,经常需要动态传递参数,例如我们需要根据用户的姓名来筛选用户时,sql 如下: select * from user where name = "Jack";上述 sql 中,我们希望 name 后的参数 "Jack" 是动态可变的,即不同的时刻根据不同的姓名来查询用户。在 Ma
mybatis#$区别
12-30
### MyBatis 中 `#` `$` 符号的区别 #### 占位符功能差异 在 MyBatis 中,`#{}` `${}` 都可以作为占位符来插入参数到 SQL 语句中。然而两者的工作机制存在显著不同。 当使用 `#{}` 形式的占位符时,MyBatis...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值