Mybatis中的#和$的区别

最新推荐文章于 2025-07-05 12:22:43 发布

原创最新推荐文章于 2025-07-05 12:22:43 发布 · 295 阅读

1 ·

CC 4.0 BY-SA版权

文章标签：

#mybatis

java 专栏收录该内容

50 篇文章

订阅专栏

本文详细解析了Mybatis中#和$符号的基本作用、使用场景和区别，特别是如何通过它们避免SQL注入攻击以及在特定场景下的高效应用。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

使用Mybatis很久以来，一直使用的是#，这个符号来操作的。基本上没有使用$符号。

# $

这个符号的基本作用就是将传入的数据都当成一个字符串，会对自动传入的数据加一个双引号。例如sql语句：

select * from t where name = #{name};
select * from t where name = ${name}$;

如果传入的name值是： 罗罗
实际上的效果是：

select * from t where name = "罗罗";
select * from t where name = 罗罗;

如果传入的值是：1 or name != null
实际上的效果就是：

select * from t where name = "1 or name != null";
select * from t where name = 1 or name != null;

  这样就能看到区别了。
  #能够加上引号，防止sql 注入攻击。 $能够直接显示传入的参数。但是有可能被sql注入攻击。
  $的使用场景一般是：order by 语句。需要动态的使用参数。这里就能够使用$$了，

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

飞奔的裸羊羊

关注关注

0
点赞
踩
1

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

Linux 之 wall 命令

我们编程吧

09-19

1071

Linux 之 wall 命令可以上墙的广播命令wall 可以上墙的广播命令wall Linux wall命令会将信息传给每一个 mesg 设定为 yes 的上线使用者（可以输入mesg，如果返回is yes就可以收到）。当使用终端登陆的时候，可以使用EOF (通常用 Ctrl+D)。所有人均可以使用该命令。官方的定义为： wall – send a message to everybody’s terminal. 所以wall应该是write all user’s teminal的缩写。使用的方法

Linux 网络通讯 : wall 命令详解

yexiang优快云的专栏

09-25

4507

wall命令用于向系统当前所有打开的终端上输出信息。通过wall命令可将信息发送给每位同意接收公众信息的终端机用户，若不给予其信息内容，则wall命令会从标准输入设备读取数据，然后再把所得到的数据传送给所有终端机用户。语法 wall(参数) 参数消息：指定广播消息。实例 [root@localhost ~]# wall this is a test line Broadca...

参与评论您还未登录，请先登录后发表或查看评论

（Centos7笔记二）wirte,wall,mesg linux消息传递

ilifei的博客

06-26

556

write使用 1.查看当前在线用户使用who 或者 w [app@tj-dev ~]$ who root tty1 2019-06-24 23:21 app pts/0 2019-06-25 21:02 (192.168.50.50) [app@tj-dev ~]$ w 21:12:09 up 21:50, 2 users, l...

MyBatis中#和$符号区别

热门推荐

伏颜的博客

07-11

2万+

Mybatis中#和$的区别

mybatis中#与$的区别

weixin_49114503的博客

04-11

826

MyBatis中使用parameterType向SQL语句传参，parameterType支持的类型可以是基本类型int,String,HashMap和java自定义类型。#会进行预编译，安全，通过#{}传入的参数 mybatis会认为是一个字符串，自动加上引号“”$ 不会进行预编译，通过$ 传入的参数会直接取出来使用，可能会产生sql注入风险，而${}是未经过预编译的,仅仅是取变量的值,是非安全的,存在SQL注入。简单说#{}是经过预编译的,是安全的。，其他的都建议用#{}传入。

Mybatis中#和$的区别（通俗简单易解版）

一勺菠萝丶的博客

06-12

636

和的标记。了解这两种方式的区别非常重要，因为它们在安全性和功能上有明显的不同。我们将通过示例来说明这些差异，并提供实用的建议，以帮助开发者选择适当的方式，以确保应用程序的安全性和效率。

Mybatis 中#和$的区别是什么？

牛肉胡辣汤

08-22

439

时，MyBatis会将参数值以安全的方式替换到SQL语句中，使用的是PreparedStatement的预编译机制。时，参数值会直接替换到SQL语句中，需要注意防止SQL注入攻击的风险。需要注意的是，使用。是安全的占位符，适合用于大部分情况下，并且推荐在编写MyBatis SQL语句时使用。是字符串替换的占位符，适合用于一些特殊的需求，但需要注意防止SQL注入攻击。是字符串替换的占位符，它直接将参数的字符串值替换到SQL语句中。进行占位符的标识，而是直接使用了。下面是一个使用。

Mybatis中的#和$符号的区别

m0_69529796的博客

03-22

890

符号作用是否预编译SQL 注入风险占位符，参数绑定✔️ 支持预编译❌ 安全（防止SQL注入）字符串拼接❌ 不预编译⚠️ 有SQL注入风险场景推荐备注传递普通参数（数字、字符串）#{}安全、高效传递动态表名、字段名、排序规则${}需要手动校验，避免 SQL 注入MyBatis 中 #{} 表示占位符，使用 PreparedStatement 预编译，能有效防止 SQL 注入，是最推荐的写法。

Linux rocketMQ 安装和使用

walle167的博客

04-19

1万+

在对比了RabbitMQ,apacheMQ之后，发现还是 rocketMQ 好用。为什么好用，百度查查就都知道了。不说废话直接说说 Linux安装： 1、需要软件（免安装版）下载地址 [release 下载地址](https://github.com/apache/incubator-rocketmq/releases) https://github.com/apache/incu

spring 整合mybatis配置 MapperScannerConfigurer，无法读配置文件错误

walle167的博客

06-05

7429

spring 集成 mybatis 时，配置自动映射dao接口和mapper.xml 的关系，使用org.mybatis.spring.mapper.MapperScannerConfigurer 代理来实现。但是配置的时候，启动总是报数据库无法读取配置文件的错误Caused by: java.lang.NumberFormatException: For input string: “${pool

CloseableHttpClient

walle167的博客

03-22

7188

dubbo 和SpringMVC 使用

walle167的博客

06-21

6663

随着互联网的发展，网站应用的规模不断扩大，常规的垂直应用架构已无法应对，分布式服务架构以及流动计算架构势在必行，亟需一个治理系统确保架构有条不紊的演进。单一应用架构当网站流量很小时，只需一个应用，将所有功能都部署在一起，以减少部署节点和成本。此时，用于简化增删改查工作量的数据访问框架(ORM) 是关键。垂直应用架构

springboot2 + dubbo（互相调用）

walle167的博客

07-12

5456

1.下载地址和文档 dubbo 文档和配置说明地址： http://dubbo.apache.org/zh-cn/docs/user/references/xml/dubbo-config-center.html dubbo 已经捐赠给 Apache 了， github 地址： https://github.com/apache/dubbo-spring-boot-project zookeepe...

Elasticsearch 安装和使用 6.2.2 ，IK分词器

walle167的博客

06-15

5391

全文搜索说了很久，一直没弄，现在有时间了，准备开始做了。 1.准备工作先说版本，因为公司的环境是 6.2.2 版本，所以测试环境也安装6.2.2 版本的，官网找了好久没有找到，后来一个小技巧下载到了。官网：https://www.elastic.co/downloads/elasticsearch 官网的中文说明文档：https://www.elastic.co/guide/cn/...

OSS-修改BUCKET权限

walle167的博客

08-03

3863

想要通过浏览器直接访问文件需要开通权限是 public-read。在linux 服务器上可以使用命令行工具 ossutil。OSS的bucket 默认权限是 private。几个核心命令： stat, set-acl,先查询 bucket的 acl 权限是什么。OSS 访问文件报错。...

jsp中使用 <a>、<img>、<link>、<form>和ajax 标签中的URL相对路径问题

walle167的博客

08-29

3822

昨天遇到一个问题，怎么说呢，其实不算是问题，解决的办法有，但是就是觉得太LOW了。问题是这样：我使用SpringMVC 请求的一个后台管理页面，页面在WEB-INF下面。地址：http://127.0.0.1:8080/web_hzsmk/secondClassInfo/ap/ao/ai/page 然后在这个页面里面，有AJAX:function c(o){ o.click(funct

springboot，根据接口后缀返回JSON 格式数据

walle167的博客

04-16

3763

springboot 返回数据格式问题先说原由：原来我的框架是 springMVC，项目提供了一个热加载配置文件的接口，直接在浏览器中使用get方式就能热更新配置文件到内存中，然鹅，我最近改了框架为springboot方式的，然后就出现问了。先贴出配置代码 @Override public void configureContentNegotiation( C...

mybatis中#和$的区别？

12-30

### MyBatis 中 `#` 和 `$` 符号的区别 #### 占位符功能差异在 MyBatis 中，`#{}` 和 `${}` 都可以作为占位符来插入参数到 SQL 语句中。然而两者的工作机制存在显著不同。当使用 `#{}` 形式的占位符时，MyBatis 将其视为预处理语句 (PreparedStatement) 的参数绑定方式[^1]。这意味着实际的 SQL 发送到数据库之前会先由 JDBC 进行一次转义处理，从而有效防止 SQL 注入攻击的发生。而采用 `${}` 方式，则是直接替换模板中的变量名为其对应的值字符串，并不做任何额外的安全检查或转换操作[^2]。因此，在某些特殊情况下可能会引入潜在风险。 #### 使用场景对比由于上述特性上的差别，这两种语法适用于不同的编程环境： - 对于大多数常规查询条件构建而言，推荐优先选用 `#{}` 结构以增强应用程序的整体安全性； - 当遇到一些无法通过标准 API 实现的需求——比如表名、列名动态指定等情况时，则可能不得不借助 `${}` 完成相应逻辑编码工作；不过此时应当格外谨慎对待输入验证环节[^3]。 #### 示例代码展示下面给出一段简单的例子说明如何分别运用这两种表达形式编写 Mapper XML 文件内的 SELECT 语句： ```xml  <select id="findUserById" parameterType="int" resultType="com.example.User"> SELECT * FROM users WHERE user_id = #{userId} </select>  <select id="findByTableName" parameterType="string" resultType="map"> SELECT * FROM ${tableName}  </select> ```