#{}和${}的区别是什么?

最新推荐文章于 2025-10-07 15:41:50 发布
原创 最新推荐文章于 2025-10-07 15:41:50 发布 · 637 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java

本文详细解析了Mybatis中#{}

a、#{}是预编译处理,${}是字符串替换。

b、Mybatis 在处理#{}时,会将 sql 中的#{}替换为?号,调用 PreparedStatement 的 set 方法来赋值;
c、Mybatis 在处理时,就是把{}时,就是把{}替换成变量的值。
d、使用#{}可以有效的防止 SQL 注入,提高系统安全性。

新人一看就懂: #{} ${} 的区别
CYK_byte的博客
03-01 1万+
1、#{} 是预编译处理,${} 是直接替换;2、${} 存在SQL注入的问题,而 #{} 不存在;Ps:这也是面试主要考察的部分~
Shell - 学习笔记 - 2.5 - Shell特殊变量:Shell $#$*、$@、$?$$
guoqx的专栏
01-31 1143
如果直接调用脚本文件执行,或者显示调用bash命令来执行这个脚本文件,输出的就是文件名。前面讲到了 $n,它是特殊变量的一种,用来接收位置参数。下面将继续讲解剩下的几个特殊变量,它们分别是:$#$*、$@、$?当被双引号" "包含时,$@ 与 $* 稍有不同,将在”Shell $*$@的区别“一节中详细讲解。传递给脚本或函数的参数。例如,第一个参数是 $1,第二个参数是 $2。上个命令的退出状态,或函数的返回值,我们将在"Shell $?在脚本的函数里,使用$0,显示的是当前的脚本文件名。
#{}与${}的区别
热门推荐
weixin_44863976的博客
09-08 1万+
#{}与${}的区别 区别 1. #{} 解析为一个 JDBC 预编译语句(prepared statement)的参数标记符,一个 #{ } 被解析为一个参数占位符;而${}仅仅为一个纯碎的 string 替换,在动态 SQL 解析阶段将会进行变量替换。 2. #{} 解析之后会将String类型的数据自动加上引号,其他数据类型不会;而${} 解析之后是什么就是什么,他不会当做字符串处理。 3...
MyBatis中 #{}${}
最新发布
2502_92141759的博客
10-07 936
特性#{}${}处理方式预编译,替换为?直接字符串拼接SQL 注入风险无(安全)有(危险)类型处理自动添加引号类型转换不处理,需手动添加引号适用场景大多数参数传递(条件、值等)动态 SQL 结构(表名、排序等)
浅谈Mybatis #$区别以及原理
08-18
浅谈Mybatis #$区别以及原理 Mybatis是一款流行的持久层框架,它提供了两个占位符:#$,它们均用于参数化SQL语句,但是它们的作用原理却有所不同,本文将详细介绍这两者的区别原理。 #$区别 在...
MyBatis中#$区别
你只管努力,
11-25 461
1.#是占位符。 $是用来拼接字符,虽然也是占位但是做不了字符的转换。#自动转换 日常报标识符无效的异常 2.#直接获取属性名称 $首先去获取properties文件的属性名称,没有的话再去对象或者参数中找。 3.#占位符 $拼接字符串,容易出现SQL注入。 为什么要引入$符号? 因为当数据库非常大的时候需要进行分库分表, 数据量大的时候#无法处理 这时候就需要$来处理了。传...
mybatis - 取值符号:# $区别
pig_ning的博客
04-25 1203
mybatis - 取值符号:# $区别
Mybatis下动态sql中##$$区别讲解
08-26
那么,在Mybatis下动态sql中##$$区别是什么呢? 首先,我们需要了解的是,Mybatis在对SQL语句进行预编译之前,会对SQL语句进行动态解析,解析为一个BoundSql对象。在动态SQL解析阶段,#{ }${ }会有不同的表现...
#{}${}的区别
weixin_50977434的博客
11-10 2634
简单明了实用
MyBatis中#$区别是什么?在实际开 发中应如何选择?
06-17
### MyBatis中#$区别及实际开发中的选择策略 #### 1. #$的基本概念 在MyBatis中,`#``$`是两种不同的参数替换方式。`#{}`会被MyBatis处理为一个占位符,实际SQL会变为带有`?`的形式,并且参数值会被绑定到占位符上[^4]。这种方式可以有效防止SQL注入攻击。而`${}`则是直接将变量的值插入到SQL语句中,不会进行任何转义或预处理[^1]。 #### 2. 安全性对比 使用`#{}`时,MyBatis会生成PreparedStatement中的占位符`?`,并设置相应的参数值。这种方式是安全的,因为它可以有效防止SQL注入攻击[^5]。例如: ```sql <select id="getUserById" parameterType="int" resultType="User"> SELECT * FROM users WHERE id = #{id} </select> ``` 上述代码中,`#{id}`会被替换为`?`,并且`id`的值会被安全地绑定到SQL语句中。 相比之下,`${}`会直接将变量的值插入到SQL语句中,不经过任何转义处理。这种方式存在SQL注入的风险,因此需要谨慎使用[^2]。例如: ```sql <select id="getUsersByOrder" parameterType="map" resultType="User"> SELECT * FROM users ORDER BY ${orderColumn} </select> ``` 如果`orderColumn`的值是由用户输入的,则可能会导致SQL注入攻击[^3]。 #### 3. 使用场景对比 - **`#{}`的适用场景**:适用于所有类型的参数,包括基本数据类型、字符串、集合、对象等。它适合用于需要传递动态参数但不需要直接拼接SQL的场景。 - **`${}`的适用场景**:适用于需要动态拼接SQL的场景,例如表名、列名或排序字段等。由于其安全性较低,必须确保传入的值是可信的,避免SQL注入风险。 #### 4. 性能对比 从性能角度来看,`#{}``${}`没有本质区别。但由于`#{}`通过PreparedStatement实现,数据库可以缓存执行计划,因此在多次执行相同SQL时,`#{}`可能会稍微优于`${}`[^4]。 #### 5. 实际开发中的选择策略 在实际开发中,应优先使用`#{}`以确保SQL的安全性。只有在确实需要动态拼接SQL(如表名、列名)时才使用`${}`,并且必须对传入的值进行严格的校验过滤[^3]。例如: ```sql <select id="dynamicTableQuery" parameterType="map" resultType="User"> SELECT * FROM ${tableName} WHERE id = #{id} </select> ``` 上述代码中,`tableName`的值必须是经过验证的可信值,而`id`则通过`#{}`安全地绑定到SQL语句中[^2]。 #### 注意事项 - 在使用`${}`时,务必确保传入的值是可控的,避免因用户输入导致的安全问题。 - 对于复杂的SQL查询,可以结合使用`<if>``<where>`等动态SQL标签,减少直接拼接SQL的需求[^1]。 ### 示例代码 以下是一个结合`#{}``${}`的示例: ```sql <select id="queryUsers" parameterType="map" resultType="User"> SELECT * FROM ${tableName} <where> <if test="name != null"> AND name = #{name} </if> <if test="age != null"> AND age = #{age} </if> </where> ORDER BY ${orderBy} </select> ```
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值