【mybatis的#和$的区别】

最新推荐文章于 2025-12-08 09:18:56 发布

原创最新推荐文章于 2025-12-08 09:18:56 发布 · 85 阅读

0 ·

CC 4.0 BY-SA版权

文章标签：

#mybatis #java #sql

本文详细解析了MyBatis中使用#和$符号作为参数引用的区别。#符号引用参数的方式通过预编译SQL语句提高了安全性，有效防止SQL注入攻击；而$符号直接替换参数值，不进行预编译，存在SQL注入风险。

mybatis的#和$的区别

‘#’可以防止sql注入
‘$’ 不做任何处理

‘#’可以防止sql注入

#号的方式引用参数，mybatis会先对sql语句进行预编译，然后再引用值，能够有效防止sql注入，提高安全性。$的方式引用参数，sql语句不进行预编译

‘$’ 不做任何处理

  <select id="truncateTable" parameterType="java.lang.String">
  		# 参数不做任何处理
        ${truncateSqlStr}
    </select>

关注博主即可阅读全文

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

心有城府，腹有良谋

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
打赏
打赏
打赏举报

举报

Mybatis下动态sql中##和$$的区别讲解

08-26

Mybatis下动态sql中##和$$的区别讲解 Mybatis是一款流行的ORM框架，能够帮助开发者快速构建数据库交互应用程序。在Mybatis中，动态SQL是一种强大特性，能够根据不同的输入参数生成不同的SQL语句。在Mybatis中，使用...

浅谈mybatis中的#和$的区别

09-02

在MyBatis中，`#`和`$`是用来动态构造SQL语句的占位符，它们的区别主要在于SQL预编译和防止SQL注入的能力。理解这两种符号的用法对于编写安全、高效的MyBatis映射文件至关重要。 1. `#`占位符： - `#`将传入的数据...

参与评论您还未登录，请先登录后发表或查看评论

Mybatis中#和$的区别

热门推荐

伏颜的博客

07-11

2万+

Mybatis中#和$的区别

MyBatis中#和$符号区别

weixin_41939500的博客

07-05

440

符号时，参数值会直接拼接到SQL语句中，不会生成预编译的占位符。这种方式适用于动态表名或列名，但存在SQL注入风险。符号时，MyBatis会生成预编译的SQL语句，参数值会被安全地替换为占位符。这种方式可以有效防止SQL注入。符号直接拼接SQL，若参数值来自用户输入且未过滤，可能导致SQL注入。符号生成的预编译SQL可被数据库缓存，提高重复查询效率。符号用于参数替换，但两者的处理方式不同。符号每次拼接SQL，无法利用缓存。符号通过预编译机制避免此问题。符号会生成预编译的占位符（即。符号会直接替换为参数值。

MyBatis中#和$的区别

weixin_36873225的博客

08-01

577

下面是一个实例12345678select"map"SELECTFROMusersWHERE-- 为了方便拼接，可以始终使用一个始终成立的条件 -->-- 根据参数动态拼接排序字段和排序顺序 -->= null">ORDERBY</if>

mybatis#号和$区别

qq_44031124的博客

06-29

601

然后，当执行SQL时，MyBatis会使用 "PreparedStatement 的 setXXX()方法"来设置参数值，"#{}"：MyBatis会使用预编译的SQL语句，并为每个参数，设置相应的占位符（通常是"?这种方式，可以有效地防止SQL注入攻击，因为，参数值不会被解析为SQL的一部分。

MyBatis 中 # 和 $ 的区别与使用场景

m0_73154147的博客

08-18

684

MyBatis中#{}和${}的主要区别：1）#{}是预编译参数占位符，自动类型转换且防SQL注入；2）${}是字符串拼接，直接替换SQL文本，存在注入风险。使用建议：条件值用#{}确保安全，动态表名/列名等场景才用${}，但必须严格校验输入参数。核心原则是优先使用#{}，仅在必要场景谨慎使用${}。

Mybatis中# 和 $的区别

m0_64630668的博客

10-29

495

特性#{}${}处理方式预编译，替换为?占位符直接字符串替换，拼接 SQL安全性防 SQL 注入（安全）存在 SQL 注入风险（不安全）参数类型自动加引号（字符串类型）需手动加引号（字符串类型）适用场景大多数参数传递（用户输入）动态 SQL 结构（表名、排序字段等）最佳实践：优先使用#{}，仅在必须动态拼接 SQL 结构时使用${}，且务必对${}的参数进行严格校验（如白名单限制）。

Mybatis中的#和$符号的区别

m0_69529796的博客

03-22

1138

符号作用是否预编译SQL 注入风险占位符，参数绑定✔️ 支持预编译❌ 安全（防止SQL注入）字符串拼接❌ 不预编译⚠️ 有SQL注入风险场景推荐备注传递普通参数（数字、字符串）#{}安全、高效传递动态表名、字段名、排序规则${}需要手动校验，避免 SQL 注入MyBatis 中 #{} 表示占位符，使用 PreparedStatement 预编译，能有效防止 SQL 注入，是最推荐的写法。

mybatis-#和$的区别

qq_53017967的博客

11-18

206

一、编译区别 1.使用# select id,name, email,age from student where id=#{studentId} 编译后： select id,name, email,age from student where id=? 2.使用$ select id,name, email,age from student where id=${studentId} 编译后：select id,name, email,age from student where id=1001.

mybatis中#与$的区别

weixin_49114503的博客

04-11

940

MyBatis中使用parameterType向SQL语句传参，parameterType支持的类型可以是基本类型int,String,HashMap和java自定义类型。#会进行预编译，安全，通过#{}传入的参数 mybatis会认为是一个字符串，自动加上引号“”$ 不会进行预编译，通过$ 传入的参数会直接取出来使用，可能会产生sql注入风险，而${}是未经过预编译的,仅仅是取变量的值,是非安全的,存在SQL注入。简单说#{}是经过预编译的,是安全的。，其他的都建议用#{}传入。

Mybatis #和$区别以及原理

hongweideng的专栏

09-21

290

#{ }可以防止Sql 注入，它会将所有传入的参数作为一个字符串来处理。 $ {} 则将传入的参数拼接到Sql上去执行，一般用于表名和字段名参数，$ 所对应的参数应该由服务器端提供，前端可以用参数进行选择，避免 Sql 注入的风险 ...

浅谈Mybatis #和$区别以及原理

08-18

浅谈Mybatis #和$区别以及原理 Mybatis是一款流行的持久层框架，它提供了两个占位符：#和$，它们均用于参数化SQL语句，但是它们的作用和原理却有所不同，本文将详细介绍这两者的区别和原理。 #和$的区别在...

Mybatis中#{}和${}传参的区别及#和$的区别小结

09-02

在MyBatis框架中，`#{}`和`${}`是两种不同的参数占位符，它们在处理传参时有着显著的差异，同时也关联到`#`和`$`的区别。理解这些差异对于编写安全且高效的SQL查询至关重要。首先，`#{}`是MyBatis的预编译参数占位...

MybatisPlus的LambdaQueryWrapper用法

2301_79693537的博客

08-21

6760

【代码】MybatisPlus的LambdaQueryWrapper用法。

Java SE——12.异常（≠错误）《干货笔记》

要努力去发光，而不是被照亮~

12-08

1187

Java SE——12.异常（≠错误）《干货笔记》

基于Java旅游信息推荐系统(源码+数据库+文档)