Mybatis中#{}与${}的使用区别

原创 已于 2025-05-23 20:28:59 修改 · 534 阅读 · 7 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
GEO检测
标签
#mybatis #spring boot
于 2025-05-23 19:23:57 首次发布

一、核心差异概览 

对比维度#{} (预编译占位符)${} (字符串拼接符)
处理方式参数化查询,预编译处理直接字符串替换
安全性天然防SQL注入存在SQL注入风险
性能支持预编译缓存,重复查询效率更高每次生成新SQL,无法复用执行计划
数据类型自动类型转换(Date/Number等)需要手动处理特殊类型
使用场景常规参数传递(WHERE条件值)动态表名/列名、SQL关键字拼接等特殊场景

二、底层原理对比

1. #{}工作原理

原始Mapper语句

SELECT * FROM users WHERE name = #{userName}

实际执行流程

1. 解析为预编译SQL:

SELECT * FROM users WHERE name = ?

2. 通过PreparedStatement.setString(1, userName)设置参数

3. 数据库执行参数化查询

2. ${}工作原理

原始Mapper语句

SELECT * FROM ${tableName} ORDER BY ${sortField}

执行时直接拼接 

SELECT * FROM user_tbl ORDER BY create_time

三、举例说明

在MyBatis中,对于sql:SELECT * FROM users WHERE name = #{userName},当userName值为"aaor 1=1"时,MyBatis会通过预编译机制进行安全处理,具体过程如下:

1、SQL解析阶段
MyBatis会将原始SQL转换为预编译语句:

SELECT * FROM users WHERE name = ?

2、参数传递阶段
通过PreparedStatement设置参数:

pstmt.setString(1, "aa' or 1=1");  // JDBC自动处理特殊字符

3、最终执行SQL
实际发送到数据库的查询为:(单引号被转义为两个单引号,具体转义方式因数据库而异)

SELECT * FROM users WHERE name = 'aa'' and 1=1'

对比之下,若使用${}来处理时:SELECT * FROM users WHERE name = ${userName},当userName值为"'aa' OR 1=1"时,实际执行的sql为:

SELECT * FROM users WHERE name = 'aa' OR 1=1

MyBatis#{}和${}的区别
m0_67683346的博客
02-28 5466
MyBatis#{}和${}的区别
Mybatis中的${}和#{}区别
web18484626332的博客
08-02 9135
动态sql是mybatis的主要特性之一,在mapper中定义的参数传到xml中之后,在查询之前,mybatis会对其进行动态解析。mybatis为我们提供了两种支持动态sql的语法#{}以及${}提示以下是本篇文章正文内容,下面案例可供参考。...
mybatis中 的 #{} ${}
az44yao的专栏
07-10 854
1、在MyBatis 的映射配置文件中,动态传递参数有两种方式:(1)#{} 占位符(2)${} 拼接符2、#{} 和 ${} 的区别(1)1)#{} 为参数占位符 ?,即sql 预编译 2)${} 为字符串替换,即 sql 拼接(2)1)#{}:动态解析 -> 预编译 -> 执行 2)${}:动态解析 -> 编译 -> 执行(3)1)#{} 的变量替换是在DBMS 中 2)${} 的变量替换是在 DBMS 外(4)1)变量替换后,#{} 对应的变量自动加上单引号 ‘’ 2)变量替换后,${} 对应的变量不
mybatis中的#{}和${}的区别
所有文章都可以查看。如果发现需要VIP才能看的文章,请留言,可能是发布的时候手抖了。
05-21 4104
1. 取值范围不同 MyBatis既可以获取执行SQL时插入的请求参数,也可以从主配置文件加载的配置文件中获取配置参数。 #{}只能获取请求参数的值,无法获取配置参数。 ${}在MyBatis初始化时能获取配置参数,如果没有,执行时再获取请求参数。 2. 处理方式不同 #{} 如果SQL中只有#{}或者可以被配置参数替换的${},那么在初始化时#{}就被解析成了占位符?。 如果SQL中有动态标签(例如if,where),或者无法被配置参数替换的${},那么#{}在执行SQL时才会被替换成占位符?。#{}的
请简述MyBatis#{} 和 ${} 之间的区别
Jiali的博客
05-10 2322
​ 首先和都可以用来读取调用Mapper接口时传递给方法的形参值,形参可以是基本类型、引用类型(对象),不管是读取基本类型还是对象中的属性,都可以用或直接获取到。
MyBatis中的${}#{}的区别以及jdbcType什么时候使用
CocoaWang的博客
08-27 7582
一、MyBatis${}#{}的区别 区别1:最终执行的SQL不同 当传入的参数name='123'的时候: 1 select * from user where name = #{name} 最终执行的SQL为:select * from user where name = '123' 2 select * from user where name = ${name}...
mybatis#$使用上有哪些区别
hefk688的博客
09-08 4312
mybatis#$区别是什么 1、传入的参数在SQL中显示不同 #传入的参数在SQL中显示为字符串(当成一个字符串),会对自动传入的数据加一个双引号。 例:使用以下SQL select id,name,age from student where id =#{id} 当我们传递的参数id为 "1" 时,上述 sql 的解析为: select id,name,age from student where id ="1" $传入的参数在SqL中直接显示为传入的值 例:使用以下SQL select id,n
Mybatis$#使用区别
恶魔盒子
03-02 334
Mybatis$#使用区别 1.# #{}表示一个占位符,进行参数传递的时候,会将传递的参数看作是字符串,并且加上引号,替换占位符的位置,连接到sql语句中; #{}可以接收简单类型和pojo,如果paramaterType传递的是简单类型,#{}括号中可以是value或其他; xml文件中代码: // 模糊查询 # <select id="findByName" parameter...
mybatis使用#{value}和${value}的区别
weixin_33874713的博客
08-08 1834
2019独角兽企业重金招聘Python工程师标准>>> ...
mybatismybatisplus的使用,sql语句中#,$符号的区别
qq_45541846的博客
01-13 1439
mybatismybatisplus的使用,sql语句中#,$符号的区别
JAVA面试题:Mybatis使用${}和#{}的区别
weixin_58856455的博客
08-08 365
使用 MyBatis 进行数据库操作时,`#{} 用于参数绑定,会生成预处理语句,使用?占位符,可以防止 SQL 注入;而 ${} 是直接字符串替换,会将参数值直接嵌入到 SQL 语句中,无法防止 SQL 注入,要谨慎使用
Java - MyBatis使用#$书写占位符有什么区别
热门推荐
了解➔熟悉➔掌握➔精通
03-20 3万+
分享一个大牛的人工智能教程。零基础!通俗易懂!风趣幽默!希望你也加入到人工智能的队伍中来!请点击http://www.captainbed.net #将传入的数据都当成一个字符串,会对传入的数据自动加上引号;$将传入的数据直接显示生成在SQL中。注意:使用$占位符可能会导致SQL注射攻击,能用#的地方就不要使用$,写order by子句的时候应该用$而不是#。 ...
MyBatis#$区别使用场景
最新发布
m0_73154147的博客
08-18 814
MyBatis#{}和${}的主要区别:1)#{}是预编译参数占位符,自动类型转换且防SQL注入;2)${}是字符串拼接,直接替换SQL文本,存在注入风险。使用建议:条件值用#{}确保安全,动态表名/列名等场景才用${},但必须严格校验输入参数。核心原则是优先使用#{},仅在必要场景谨慎使用${}。
Mybatis实战:#{} 和 ${}的使用区别和数据库连接池
LHY537200的博客
08-02 2348
{} 和 ${}#{} 和 ${} 在MyBatis框架中都是用于SQL语句中参数替换的标记,但它们在使用方式和处理参数值上存在一些显著的区别。特点1.1Interger类型的参数1.先看Interger类型的参数2.观察日志3.查看日志中的输出语句我们输⼊的参数并没有在后⾯拼接,id的值是使⽤?进⾏占位. 这种SQL 我们称之为"预编译SQL"。4.我们把#{}改成${}5.再次查看输出日志信息可以看到, 这次的参数是直接拼接在SQL语句中了。
MyBatis中的#{}和${}区别、ResultMap使用MyBatis常用注解方式、MyBatis动态SQL
fxbsdl的博客
08-26 1434
俩个元素 collection 、associationcollection:关联元素处理一对多关联例如专业学生是一对多,专业一方配置学生集合//专业//专业名称//专业下学生集合在学生多方配置专业一方//建议在学生表中关联专业,将专业信息封装到专业对象中使用ResultMap组装查询结果--专业关联学生一对多查询到的多个学生放到一个集合当中-->selectm.id,m.name,s.num,</select>
JDBC预编译、Mybatis#{} ${} 使用区别
淦淦淦!
08-07 959
JDBC预编译 1.预编译语句 预编译语句PreparedStatement是java.sql中的一个接口,它是Statement的子接口。通过Statement对象执行sql语句时,需要将sql语句发送给DBMS,由DBMS首先进行编译再执行(在创建通道的时候并不进行sql的编译工作,事实上也无法进行编译)。而通过PreparedStatement不同,在创建PreparedStatement对...
mybatis$#区别以及各自的使用场景
2301_77760093的博客
03-14 2222
MyBatis 中,$# 都是用于参数绑定的,但它们之间存在明显的差异,主要体现在参数的预处理方式和安全性上。
Mybatis #{} 和 ${}区别,使用场景,LIKE模糊查询避免SQL注入
m0_74240639的博客
06-05 459
Mybatis #{} 和 ${}区别,使用场景,LIKE模糊查询避免SQL注入
mybatis】详解 #$区别,两者分别适用于哪种场景,使用 $ 不当会造成什么影响
yican2580的博客
12-22 1414
描述在使用mybatis进行sql编写时 # $区别,两者分别适用于哪种场景。如何防范sql注入
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值