{}为预编译占位符,安全且防SQL注入,优先使用;${}为字符串替换,存在注入风险,仅用于动态表名等无法预编译场景。
在Java后端开发中使用MyBatis时,#{} 和 ${} 都用于在SQL语句中插入动态参数,但它们的处理方式和安全性有本质区别。
#{}:预编译占位符(安全)
MyBatis 会将 #{} 解析为预编译的 PreparedStatement 参数占位符(即 ?),然后通过 set 方法设置实际值。这种方式能有效防止 SQL 注入。
特点:
参数会被自动加上引号(如果是字符串类型)支持类型处理器,能处理各种数据类型(如 Integer、String、Date 等)底层使用 PreparedStatement,性能更好,更安全示例:
SELECT * FROM user WHERE name = #{userName}
如果传入 userName = “zhangsan”,最终执行的 SQL 是:
立即学习“Java免费学习笔记(深入)”;
SELECT * FROM user WHERE name = ?
参数通过 setString(1, “zhangsan”) 设置,不会拼接进 SQL 字符串。
魔乐社区
天翼云和华为联合打造的AI开发者社区,支持AI模型评测训练、全流程开发应用
102 查看详情
${}:直接字符串替换(危险)
MyBatis 会把 ${} 中的内容直接替换成原始字符串,不做任何转义或预处理。相当于字符串拼接,容易导致 SQL 注入。
适用场景:
动态表名动态列名ORDER BY 后面的字段名需要手动拼接的复杂 SQL 片段示例:
SELECT * FROM ${tableName} WHERE id = #{id}
如果 tableName = “user”,id = 1,则生成:
SELECT * FROM user WHERE id = ?
注意:表名部分是直接替换的,没有引号包裹,也不能被预编译保护。
关键区别总结
#{} 是参数化查询,${} 是字符串拼接#{} 安全,推荐优先使用;${} 不安全,需谨慎使用当需要动态表名、排序字段等无法预编译的场景,才考虑 ${}使用 ${} 时必须对输入严格校验或白名单控制,避免注入风险
基本上就这些。日常开发中,能用 #{} 就不用 ${},除非确实需要动态 SQL 结构。不复杂但容易忽略的是:很多人误以为 ${} 只是“不加引号”,其实它完全跳过了预编译机制,这才是危险根源。
以上就是java后端开发中MyBatis的#{}和${}有什么区别?的详细内容,更多请关注创想鸟其它相关文章!
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。
如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 chuangxiangniao@163.com 举报,一经查实,本站将立刻删除。
发布者:程序猿,转转请注明出处:https://www.chuangxiangniao.com/p/305916.html
微信扫一扫 
支付宝扫一扫 
