sql中#{}和${}的区别

好无聊呦

于 2020-03-09 16:38:20 发布

阅读量705

点赞数 2

分类专栏： sql 文章标签：数据库 mysql

本文链接：https://blog.youkuaiyun.com/weixin_44245604/article/details/104755255

版权

sql 专栏收录该内容

8 篇文章

订阅专栏

本文详细解析了MyBatis中#与$符号在SQL参数处理上的不同，强调#方式能有效防止SQL注入，而$方式直接拼接SQL，存在安全隐患。建议优先使用#，并介绍了动态SQL的特殊应用场景。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

	#{} 传入值时，sql解析时，参数是带引号的，而${}穿入值，sql解析时，
参数是不带引号的。
	#将传入的数据都当成一个字符串，会对自动传入的数据加一个双引号，
而$将传入的数据直接显示生成在sql中。
	#方式在很大程度上能够防止sql注入，$方式无法防止sql注入。$方式
一般用于动态sql，直接接收sql拼接。基本上能不用$就不用，尽量使用#。
	MyBatis排序使用order by 动态参数时用$而不是#。
	预防：
	在接口中使用参数验证、正则验证，前端使用过滤器或者正则验证来防止SQL注入。
	使用#能一定程度的防止sql注入。
	尽可能不用动态SQL。
	不在数据库中保存敏感数据或者对数据进行加密。
	数据库权限限制。