SQL —— #{} 和 ${}

最新推荐文章于 2025-10-11 17:01:03 发布
原创 最新推荐文章于 2025-10-11 17:01:03 发布 · 3.6k 阅读 · 15 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#mysql #sql #数据库 #mybatis #java

博客探讨了SQL语句中#{}和${}传参的区别及使用注意事项。#{}预处理时用占位符?代替参数,${}只是简单字符串替换。实际使用中优先用#{},可避免SQL注入,不过在传入表名、查询条件等情况时必须使用${}。

问题

sql语句可以使用 #{} 或 ${}进行传参,那么他们有什么区别,使用上有什么需要注意的地方呢?

解决

在预编译中的处理是不一样的。#{} 在预处理时,会把参数部分用一个占位符 ? 代替,变成如下的 sql 语句:select * from a where name = ?;

而 ${} 则只是简单的字符串替换,在动态解析阶段,该 sql 语句会被解析成:select * from a where name = 'zhangsan';

实际使用

优先使用 #{}。因为 ${} 可能会导致 sql 注入的问题。

但也有必须使用${}的情况,比如

  • 传入表名
SELECT *
FROM ${tableName}

  • 传入查询条件

SELECT *
FROM ${tableName}
WHERE ${sql}

 

 

MyBatis SQL语句 #{} ${}的区别
m0_60963435的博客
07-26 1033
T04BF👋专栏:🫵 今天你敲代码了吗。
MyBatis#$符的区别,sql注入问题,动态sql语句
m0_73381672的博客
02-06 2019
#{}${}都是MyBatis提供的sql参数替换。区别是: #{}是预编译处理,${}是字符串直接替换。 #{}可以防止SQL注入,${}存在SQL注入的风险,例如 “' or 1='1” 虽然存在SQL注入风险,但也有自己的适用场景,比如排序功能,表名,字段名等作为参数传入时。 #{}模糊查询要搭配使用mysql内置的拼接函数concat,安全性高。模糊查询虽然${}可以完成,但是存在SQL注入,不安全。
SQL入门教程从零基础入门到精通,看完这一篇就够了!
最新发布
fly_enum的博客
10-11 1105
SQL语言有40多年的历史,从它被应用至今几乎无处不在。我们消费的每一笔支付记录,收集的每一条用户信息,发出去的每一条消息,都会使用数据库或与其相关的产品来存储,而操纵数据库的语言正是 SQL
mybatis#{}${}的区别以及SQL注入问题
weixin_47331155的博客
12-13 2335
mybatis
sql${} #{}的区别
qq_34266804的博客
03-01 737
sql中对于传入参数有两种写法,刚开始学的时候总是不知道是什么原因,故此写下此笔记作为解释: $将传入的数据直接显示生成在sql中,那么我们使用 ${}的时候 select * from user where name = ${name}; ${}在动态解析的时候,会将我们传入的参数当做String字符串填充到我们的语句中,就会变成下面的语句 select * from u...
sql语句中使用#{}与${}的区别
m0_64823170的博客
02-28 1588
比如一个登录表单,攻击者在用户名字段输入 admin' --,如果后端SQL语句是。这里 -- 后面的内容被注释掉,因此SQL语句实际上忽略了密码检查。则实际执行的SQL语句变成了。
2025/2/21下午《尚硅谷》——mybatis处理批量删除动态设置表名——#{}${}
YZH&HQQ
02-21 548
2025/2/21下午《尚硅谷》——mybatis处理批量删除动态设置表名——#{}${}
SQL——触发器
04-24
触发器是一种特殊类型的...触发器可以查询其它表,并可以包含复杂的Transact-SQL语句。将触发器触发它的语句作为可在触发器内回滚的单个事务对待。如果检测到严重错误(例如,磁盘空间不足),则整个事务即自动回滚。
SQL——存储过程
04-24
存储过程(Stored Procedure)是在大型数据库系统中,一组为了完成特定功能的SQL 语句集,存储在数据库中,经过第一次编译后再次调用不需要再次编译,用户通过指定存储过程的名字并给出参数(如果该存储过程带有参数...
全国行政区划sql——项目中使用的
08-04
最新最全的全国行政区划,项目中使用的,共享给大家,太不好找这个资源了!!!
SQL详细讲解——visuaC#
04-05
在探讨“SQL详细讲解——visualC#”这一主题时,我们首先需要澄清,标题中提及的“visualC#”似乎与SQL本身没有直接关联。Visual C#是Microsoft .NET框架的一部分,主要用于创建Windows桌面应用程序、Web应用程序...
sql语句中的符号】(通配符+#{}+${})
灵活的小胖子
08-17 9805
背景:别人写的代码,由于数据库添加了一个is_delete(0:未删除;1:已删除)字段用来做假删除,大家都知道,如果说一条数据删除了,那么肯定是不能查出来的了,因此,我的任务就是修改由于添加一个字段而引发的灾难。 问题: 我们的sql: select i.id, i.project_id, i.sets, i.name, i.length, i.likes, i.url, i.type, p.project_name from
sql语句中的#{}占位符${}占位符
JavaClub
06-09 9321
#方式能够很大程度防止sql注入;$方式无法防止Sql注入。
SQL中,# $ 用于不同的占位符语法
SSHLY3的博客
01-03 839
预编译处理:#{} 中的内容会被视为一个 JDBC 预编译语句的参数。直接替换:${} 中的内容会被直接替换为变量的值,不会进行预编译处理。这相当于将变量值直接拼接到 SQL 字符串中。存在 SQL 注入风险:由于是直接替换,如果输入未经严格校验,可能会导致 SQL 注入攻击。防止 SQL 注入:由于使用了预编译语句,可以有效防止 SQL 注入攻击。类型安全:MyBatis 会根据 Java 类型自动处理数据类型的转换。灵活性:适用于一些动态 SQL 场景,例如表名或列名的动态替换。
sql语句中 #{}与${}的用法
热门推荐
cmjimmy的博客
08-24 2万+
1介绍 测试 ${} 在没有特殊要求情况下,通常我们使用#{}占位符,有些情况下必须使用${}了解即可 例如:需要动态拼接表名. 下面是模糊查询的应用#{}与${} 下面是错误的使用#{} 下面是正确的方式使用#{}模糊查询 掌握. ...
sql注入实例分析
weixin_30624825的博客
07-23 3573
什么是SQL注入攻击?引用百度百科的解释: sql注入_百度百科: 所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执...
sql#{}${}的区别
EI_Psy_Congroo_的博客
06-11 209
MyBatis${}#{}的区别: ${}是直接替换SQL中的参数,可能引发SQL注入风险,适合需要原样插入的场景;#{}则采用预编译机制,会自动处理字符串引号,更加安全。例如${value}会直接替换,而#{value}会转为预编译参数。实际开发中应优先使用#{}以防注入,仅在需要动态表名等特殊场景使用${}。
mybatis#$的区别?
12-30
MyBatis 中,`#{}` `${}` 都可以作为占位符来插入参数到 SQL 语句中。然而两者的工作机制存在显著不同。 当使用 `#{}` 形式的占位符时,MyBatis 将其视为预处理语句 (PreparedStatement) 的参数绑定方式[^1]...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

宇宙超级无敌程序媛

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值