Mybatis中#和$的区别

最新推荐文章于 2025-06-26 21:35:41 发布
原创 最新推荐文章于 2025-06-26 21:35:41 发布 · 6.7k 阅读 · 21 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#mybatis

没有检索到摘要

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

首先通过下面两条sql及打印的执行sql,清楚明了的看一下它们的区别:

<select id="selectUserInfo" parameterType="java.util.Map" resultType="java.util.Map">
    select 
        *
    from 
        user 
    where 
        userId=${id} password=#{pwd} 
</select>

假设入参传入的是1,打印执行sql如下:
Preparing:select * from user where id=1 and password=111111

<select id="selectUserInfo" parameterType="java.util.Map" resultType="java.util.Map">
    select 
        * 
    from 
        user 
    where 
        userId=#{id} and password=#{pwd}
</select>

同样入参传入1,打印的执行sql如下:
Preparing:select * from user where id=? and password=?
Parameters:1(String),111111(String)

MyBatis启用了预编译功能,在SQL执行前,会先将上面的SQL发送给数据库进行编译;执行时,如果入参为#{}格式的,将入参替换编译好的sql中的占位符“?”;如果入参格式为${},则直接使用编译好的SQL就可以了。因为SQL注入只能对编译过程起作用,所以使用#{}入参的方式可以很好地避免了SQL注入的问题。

mybatis预编译底层实现原理
MyBatis是如何做到SQL预编译的呢?其实在框架底层,是JDBC中的PreparedStatement类在起作用,PreparedStatement是我们很熟悉的Statement的子类,它的对象包含了编译好的SQL语句。这种“准备好”的方式不仅能提高安全性,而且在多次执行同一个SQL时,能够提高效率。原因是SQL已编译好,再次执行时无需再编译。

总结
#{}:相当于JDBC中的PreparedStatement
${}:是输出变量的值
简单说,#{}是经过预编译的,是安全的;${}是未经过预编译的,仅仅是取变量的值,是非安全的,存在SQL注入。

番外(sql注入)
还是以上面的两条sql为例,入参id的值传入“1 or userId=2”,入参pwd的值传入“111111”。以#{}格式传入入参后的执行sql:
select * from user where userId=”1 or userId=2” and password = “111111”;
以${}格式传入入参后的执行sql:
select * from user where userId=1 or userId=2 and password = 111111;

很显然,以${}格式传入入参后的执行sql打乱了我们的预期sql格式及查询条件,从而实现sql注入。所以,除了order by 等需要传入数据库字段等的入参使用${},其他的尽量使用#{}

mybatis中的#$区别
kobi521的专栏
11-25 11万+
1. #将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by "111", 如果传入的值是id,则解析成的sql为order by "id".    2. $将传入的数据直接显示生成在sql中。如:order by $user_id$,如果传入的值是111,那么解析成sql时的
MyBatis#$符的区别,sql注入问题,动态sql语句
m0_73381672的博客
02-06 1913
#{}${}都是MyBatis提供的sql参数替换。区别是: #{}是预编译处理,${}是字符串直接替换。 #{}可以防止SQL注入,${}存在SQL注入的风险,例如 “' or 1='1” 虽然存在SQL注入风险,但也有自己的适用场景,比如排序功能,表名,字段名等作为参数传入时。 #{}模糊查询要搭配使用mysql内置的拼接函数concat,安全性高。模糊查询虽然${}可以完成,但是存在SQL注入,不安全。
mybatis#$区别
热门推荐
灰太狼
03-22 2万+
mybatis接口mapper文件中引用传入的参数是通过#{param}或者${param}来使用的。1.数据类型匹配#:会进行预编译,而且进行类型匹配$:不进行数据类型匹配2.实现方式 #:用于变量替换$:实质上是字符串拼接3.#$的使用场景(1)变量的传递,必须使用#,使用#{}就等于使用了PrepareStatement这种占位符的形式,提高效率。可以防止sql注入等等问题。#方式一般用...
Mybatis$#区别
u012102536的博客
08-29 1135
1 #是将传入的值当做字符串的形式,eg:select id,name,age from student where id =#{id},当前端把id值1,传入到后台的时候,就相当于 select id,name,age from student where id ='1'.  2 $是将传入的数据直接显示生成sql语句,eg:select id,name,age from studen
MyBatis 笔记——动态参数与 `#` `$` 的使用
最新发布
笑衬人心的博客
06-26 1520
本文介绍了MyBatis中的动态SQL功能以及#$参数占位符的使用区别。主要内容包括:1) 动态SQL通过<if>,<choose>,<foreach>等标签实现条件查询;2) #占位符能自动转义参数,防止SQL注入,适用于大多数场景;3) $占位符直接拼接参数,存在安全风险,仅限表名/列名等特殊场景使用;4) 提供了多种动态SQL与参数占位符结合的示例代码。最后强调应优先使用#以确保安全性,仅在必要时谨慎使用$
mybatis#{}${}的区别!!!重点
liangweihao的博客
12-10 230
mybatis#{}${}的区别
MyBatis#{}${}的区别
m0_67683346的博客
02-28 5320
MyBatis#{}${}的区别
浅谈Mybatis #$区别以及原理
08-18
浅谈Mybatis #$区别以及原理 Mybatis是一款流行的持久层框架,它提供了两个占位符:#$,它们均用于参数化SQL语句,但是它们的作用原理却有所不同,本文将详细介绍这两者的区别原理。 #$区别 在...
Mybatis#{}${}传参的区别#$区别小结
09-02
MyBatis框架中,`#{}``${}`是两种不同的参数占位符,它们在处理传参时有着显著的差异,同时也关联到`#``$`的区别。理解这些差异对于编写安全且高效的SQL查询至关重要。 首先,`#{}`是MyBatis的预编译参数占位...
浅谈mybatis中的#$区别
09-02
MyBatis中,`#``$`是用来动态构造SQL语句的占位符,它们的区别主要在于SQL预编译防止SQL注入的能力。理解这两种符号的用法对于编写安全、高效的MyBatis映射文件至关重要。 1. `#`占位符: - `#`将传入的数据...
Mybatis下动态sql中##$$区别讲解
08-26
Mybatis下动态sql中##$$区别讲解 Mybatis是一款流行的ORM框架,能够帮助开发者快速构建数据库交互应用程序。在Mybatis中,动态SQL是一种强大特性,能够根据不同的输入参数生成不同的SQL语句。在Mybatis中,使用...
mybatis#{ }${ }的区别
qq_43910202的博客
02-17 241
mybatis 为我们提供了两种支持动态 sql 的语法:#{} 以及 ${};两者都是动态的向sql语句中传入需要的参数。 #传入的参数在SQL中显示为字符串,#方式能够很大程度防止sql注入;$传入的参数在SqL中直接显示为传入的值,$方式无法防止Sql注入。 #传入的参数在SQL中显示为字符串(当成一个字符串),会对自动传入的数据加一个双引号。 select id,name from...
Mybatis中的#$符号的区别
m0_69529796的博客
03-22 886
符号作用是否预编译SQL 注入风险占位符,参数绑定✔️ 支持预编译❌ 安全(防止SQL注入)字符串拼接❌ 不预编译⚠️ 有SQL注入风险场景推荐备注传递普通参数(数字、字符串)#{}安全、高效传递动态表名、字段名、排序规则${}需要手动校验,避免 SQL 注入MyBatis#{} 表示占位符,使用 PreparedStatement 预编译,能有效防止 SQL 注入,是最推荐的写法。
Mybatis#$区别
lvjingWn的博客
12-06 354
Mybatis#$区别Mybatis中的#{}用于传递查询的参数,用于从dao层传递一个string参数过来(也可以是其他参数),select * from 表名 order by age=#{age}Mybatis会把这个参数转换成一个字符串。select * from 表名 order by age=”age” 相当于jdbc中的预编译,安全。而一般用于orderby的后面,Mybatis
Mybatis中的#号与$符号的区别
小泽
04-05 1万+
1、#{变量名}可以进行预编译、类型匹配等操作, 2、#{变量名}会转化为jdbc的类型。 3、${变量名}不进行数据类型匹配,直接替换。 4、#方式能够很大程度防止sql注入。 5、$方式无法方式sql注入。 6、$方式一般用于传入数据库对象,例如传入表名。 7、尽量多用#方式,少用$方式。 8、#会自动加双引号,$不会加双引号 这两个符号在mybatis中最直接的区别就是:#相当于对数据 加上 单引号,$相当于直接显示数据(只讨论字符串类型的)。 1、#对传入的参数视为字符串,也就..
Mybatis#{}${}的用法
li_w_ch的博客
11-17 1万+
1、#{}将传入的数据当作一个字符串,会对传入的数据加上一个双引号。 比如, select * from student where student_name = #{studentName} 如果传入的值为xiaoming,那么解析成sql的值为student_name="xioming"。 2、${}将传入的数据直接显示生成在sql中。 如 : select ${fieldNmae} from student where student_age = 18 此时,传入的参数作为要查询的字
Mybatis#$区别
笙箫的博客
09-17 621
1、#相当于对数据 加上 双引号,$相当于直接显示数据 2、 #将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。 如果传入的值是 id,则解析成的 sql 为 order by "id".;$将传入的数据直接显示生成在 sql 中。如果传入的值是 id,则解析成的 sql 为 order by id. 3. #方式能够很大程度防止 sql 注入;$方式无法防止 Sql 注入。 ...
mybatis#$区别
12-30
### MyBatis 中 `#` `$` 符号的区别 #### 占位符功能差异 在 MyBatis 中,`#{}` `${}` 都可以作为占位符来插入参数到 SQL 语句中。然而两者的工作机制存在显著不同。 当使用 `#{}` 形式的占位符时,MyBatis 将其视为预处理语句 (PreparedStatement) 的参数绑定方式[^1]。这意味着实际的 SQL 发送到数据库之前会先由 JDBC 进行一次转义处理,从而有效防止 SQL 注入攻击的发生。 而采用 `${}` 方式,则是直接替换模板中的变量名为其对应的值字符串,并不做任何额外的安全检查或转换操作[^2]。因此,在某些特殊情况下可能会引入潜在风险。 #### 使用场景对比 由于上述特性上的差别,这两种语法适用于不同的编程环境: - 对于大多数常规查询条件构建而言,推荐优先选用 `#{}` 结构以增强应用程序的整体安全性; - 当遇到一些无法通过标准 API 实现的需求——比如表名、列名动态指定等情况时,则可能不得不借助 `${}` 完成相应逻辑编码工作;不过此时应当格外谨慎对待输入验证环节[^3]。 #### 示例代码展示 下面给出一段简单的例子说明如何分别运用这两种表达形式编写 Mapper XML 文件内的 SELECT 语句: ```xml <!-- 正确做法 --> <select id="findUserById" parameterType="int" resultType="com.example.User"> SELECT * FROM users WHERE user_id = #{userId} </select> <!-- 错误示范:容易遭受注入威胁 --> <select id="findByTableName" parameterType="string" resultType="map"> SELECT * FROM ${tableName} <!-- 不建议这样写 --> </select> ```
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值