在Mybatis中 #{} 和 ${} 的区别是什么

最新推荐文章于 2025-06-26 21:35:41 发布

大房子爱生活

最新推荐文章于 2025-06-26 21:35:41 发布

阅读量2.7k

点赞数 1

CC 4.0 BY-SA版权

分类专栏：开发 Spring框架文章标签： mybatis #{} ${}

本文链接：https://blog.youkuaiyun.com/weixin_43863007/article/details/88594921

开发同时被 2 个专栏收录

76 篇文章

订阅专栏

Spring框架

23 篇文章

订阅专栏

动态sql是mybatis的强大特性之一也是这个框架优于其他框架的一个原因，mybatis在对sql进行预编译之前会对sql语句进行动态解析，#{}和${} 则会有不同的表现：

1.#{}在动态解析的时候回解析成一个参数的标记符，会将sql中的#{}解析替换成一个？，最后注入的值是带引号的，例如：

解析前：select * from user where name = #{name}
解析后：select * from user where name = '姓名'

2.#{}是字符串替换，mybatis在处理${}时就是把它替换成变量的值，例如：

解析前：select * from user where name = ${name}
解析后：select * from user where name = 姓名

3.#{}防止sql注入：

#方式能够很大程度的防止sql注入。而$无法防止sql注入，所以在使用的时候用的比较多的是#{}来传参数

至于#能够防止sql注入是因为mybatis中的sql语句是预编译机制，预编译是提前对sql语句进行编译，而编译后传入的参数将不会再执行编译，一般的sql注入都是在编译的过程中被恶意注入了某些特殊字符，而预编译机制则可以很好的防止sql注入。

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

大房子爱生活

关注关注

1
点赞
踩
5

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

【mybatis的#和$使用和区别】

学无止境

02-27

1161

【mybatis的#和$使用和区别】

MyBatis中#和$区别？

你只管努力，

11-25

437

1.#是占位符。 $是用来拼接字符，虽然也是占位但是做不了字符的转换。#自动转换日常报标识符无效的异常 2.#直接获取属性名称 $首先去获取properties文件的属性名称，没有的话再去对象或者参数中找。 3.#占位符 $拼接字符串，容易出现SQL注入。为什么要引入$符号？因为当数据库非常大的时候需要进行分库和分表，数据量大的时候#无法处理这时候就需要$来处理了。传...

参与评论您还未登录，请先登录后发表或查看评论

MyBatis中#和$符的区别，sql注入问题，动态sql语句

m0_73381672的博客

02-06

1917

#{}和${}都是MyBatis提供的sql参数替换。区别是： #{}是预编译处理，${}是字符串直接替换。 #{}可以防止SQL注入，${}存在SQL注入的风险，例如 “' or 1='1” 虽然存在SQL注入风险，但也有自己的适用场景，比如排序功能，表名，字段名等作为参数传入时。 #{}模糊查询要搭配使用mysql内置的拼接函数concat，安全性高。模糊查询虽然${}可以完成，但是存在SQL注入，不安全。

MyBatis - #{} 和 ${}

m0_74859835的博客

09-21

897

mybatis - #{ } 和 ${ } 的使用区别，预编译SQL 和即时SQL 的优缺点，及SQL注入问题

MyBatis 笔记——动态参数与 `#` 和 `$` 的使用

最新发布

笑衬人心的博客

06-26

1536

本文介绍了MyBatis中的动态SQL功能以及#和$参数占位符的使用区别。主要内容包括：1) 动态SQL通过<if>,<choose>,<foreach>等标签实现条件查询；2) #占位符能自动转义参数，防止SQL注入，适用于大多数场景；3) $占位符直接拼接参数，存在安全风险，仅限表名/列名等特殊场景使用；4) 提供了多种动态SQL与参数占位符结合的示例代码。最后强调应优先使用#以确保安全性，仅在必要时谨慎使用$。

【MyBatis】#{}和${} | 数据库连接池

不能再留遗憾了的博客

01-09

2827

MyBatis中最常见的面试题——#{}和${}的区别，数据库连接池

MyBatis 中 #{} 和 ${} 的区别

liuyuinsdu的专栏

03-12

1444

1、在MyBatis 的映射配置文件中，动态传递参数有两种方式：（1）#{}占位符（2）${}拼接符 2、#{}和${}的区别（1） 1）#{}为参数占位符?，即sql 预编译 2）${}为字符串替换，即sql 拼接（2） 1）#{}：动态解析 ->预编译-> 执行 2）${}：动态解析 ->编译-> 执行（3） 1）#{}的变量替换是在DBMS中 2）${}的变量替换是在DBMS外（4） 1）变量替换后，...

Mybatis中#{}和${}的区别

洋成林

05-12

4137

1、生成执行sql以及sql安全方面：（1）使用#{}格式的语法，在mybatis中会使用Preparement语句来安全地设置值，跟踪断点会看到即将执行的sql中用“?”做占位符，执行sql类似于 PreparedStatement ps = conn.prepareStatement(sql); ps.setInt(1,id); 同时，#{}写法会将传入的数据都当成一个字...

浅谈Mybatis #和$区别以及原理

08-18

在Mybatis中，#和$都是占位符，但是它们的作用和处理机制不同。#号将所有传入的参数作为一个字符串来处理，而$号则将传入的参数拼接到SQL语句中执行。这两个占位符的使用场景和风险也不同，#号可以防止SQL注入，而$...

Mybatis中#{}和${}传参的区别及#和$的区别小结

09-02

在MyBatis框架中，`#{}`和`${}`是两种不同的参数占位符，它们在处理传参时有着显著的差异，同时也关联到`#`和`$`的区别。理解这些差异对于编写安全且高效的SQL查询至关重要。首先，`#{}`是MyBatis的预编译参数占位...

mybatis中#{}和${}的区别

Lyuuku爱吃苹果

02-11

571

1. 概念 #{}和${}都可以传输数据,两者的差异是编译的时期不一样 #{}是一次编译,后续每次调用只是传递一个参数进去${}是每次都会编译,传递进去的数据会当做sql语句一起编译 2. sql语句的编译 sql语句编译有两种形式,即statement和PrepareStatement两种 2.1 Statement statement每次执行语句都要重新编译一次

Mybatis——#{}和${}的区别

热门推荐

想着百万年薪努力的小赵

07-08

5万+

在使用mybatis的时候我们会使用到#{}和${}这两个符号来为sql语句传参数，那么这两者有什么区别呢？#{}是预编译处理，是占位符，${}是字符串替换，是拼接符Mybatis在处理#{}的时候会将sql中的#{}替换成？号，调用PreparedStatement来赋值如：设userName=yuze看日志我们可以看到解析时将#{userName}替换成了？然后再把yuze放进去，外面加上单引号设userName=yuze看日志可以发现就是直接把值拼接上去了这极有可能发生sql注入，下面举了

Mybatis中#和$的区别

01-05

6701

Mybatis中$和#的区别

一文解惑mybatis中的#{}和${}

一个菜鸡的博客

07-19

6157

{}先编译sql语句，再给占位符传值，底层是PreparedStatement实现。可以防止sql注入，比较常用。${}先进行sql语句拼接，然后再编译sql语句，底层是Statement实现。存在sql注入现象。只有在需要进行sql语句关键字拼接的情况下才会用到。

请问MyBatis中#{}和${}的区别是什么？？？

liyanfang0310的博客

07-01

1396

#{}是预编译处理，$ {}是字符串替换。mybatis在处理#{}时，会将sql中的#{}替换为?号，调用PreparedStatement的set方法来赋值；mybatis在处理时，就是把{}时，就是把时，就是把 {}替换成变量的值。使用#{}可以有效的防止SQL注入，提高系统安全性。对于这个题目我感觉要抓住两点：（1）$ 符号一般用来当作占位符，常使用Linux脚本的人应该对此有更深的体会吧。既然是占位符，当然就是被用来替换的。知道了这点就能很容易区分$和#，从而不容易记错了。（2）预编译的机制

Mybatis 中 #{}和${}的区别是什么？

weixin_52222660的博客

04-23

1355

mybatis编写SQL语句的时候，经常需要用到，那么用来替换变量值的操作这两个符号，同样在一些Java面试中也经常被问到它们的区别。那么它们在使用上面有什么区别呢？

【Java面试】Mybatis中#{}和${}的区别是什么？

跟着Mic学架构

05-31

737

一个工作2年的粉丝，被问到一个Mybatis里面的基础问题。需要高手面试文档（附赠阿里内部十万字面试文档）的小伙伴可以扫描文章底部二维码普通人： Mybatis里面#{}和${}的区别： ${}是一种可以动态替换的。 #{}是一种占位符。高手：好的，关于这个问题我从几个方面来回.

Mybatis 中的#{}和${}的区别是什么？

码农跟牛马有什么区别

08-06

246

Mybatis 中的#{}和${}的区别是什么？

mybatis中#和$的区别？

12-30

### MyBatis 中 `#` 和 `$` 符号的区别 #### 占位符功能差异在 MyBatis 中，`#{}` 和 `${}` 都可以作为占位符来插入参数到 SQL 语句中。然而两者的工作机制存在显著不同。当使用 `#{}` 形式的占位符时，MyBatis 将其视为预处理语句 (PreparedStatement) 的参数绑定方式[^1]。这意味着实际的 SQL 发送到数据库之前会先由 JDBC 进行一次转义处理，从而有效防止 SQL 注入攻击的发生。而采用 `${}` 方式，则是直接替换模板中的变量名为其对应的值字符串，并不做任何额外的安全检查或转换操作[^2]。因此，在某些特殊情况下可能会引入潜在风险。 #### 使用场景对比由于上述特性上的差别，这两种语法适用于不同的编程环境： - 对于大多数常规查询条件构建而言，推荐优先选用 `#{}` 结构以增强应用程序的整体安全性； - 当遇到一些无法通过标准 API 实现的需求——比如表名、列名动态指定等情况时，则可能不得不借助 `${}` 完成相应逻辑编码工作；不过此时应当格外谨慎对待输入验证环节[^3]。 #### 示例代码展示下面给出一段简单的例子说明如何分别运用这两种表达形式编写 Mapper XML 文件内的 SELECT 语句： ```xml  <select id="findUserById" parameterType="int" resultType="com.example.User"> SELECT * FROM users WHERE user_id = #{userId} </select>  <select id="findByTableName" parameterType="string" resultType="map"> SELECT * FROM ${tableName}  </select> ```