MyBatis中#{}和${}的用法

一、例子

1、#{}将传入的数据当作一个字符串,会对传入的数据加上一个双引号。

比如:

sql 复制代码
select * from student where student_name = #{studentName}

如果传入的值为zhangsan,那么经过Mybatis解析完成之后的语句是:

sql 复制代码
select * from student where student_name="zhangsan"

2、${}将传入的数据直接显示生成在sql中。

比如:

sql 复制代码
select ${fieldName} from user where user_age = 22

此时,传入的参数作为要查询的字段,如果传入的值为user_name,则解析成的sql为:

sql 复制代码
select user_name from user where user_age = 22

二、区别

  1. #{}方式能够很大程度上防止sql注入,${}无法防止sql注入。

  2. ${}方式一般用于传入数据库对象,例如列表和表名,#{}方式一般用来传递接口传输过来的具体数据。

  3. 由于#{}方式具有更高的安全行,所以能用#{}的地方尽量不要使用${}

  4. Mybatis排序时使用order by动态参数时需要注意,用${}而不是#{}

  5. #符号(Pound Sign

    • #符号用于参数值的占位,会将参数值进行预编译,并在执行SQL语句时将参数值安全地传递给数据库,防止SQL注入攻击。

    • 适用于大多数情况,尤其是当参数值来自用户输入或不可信数据时,是更安全的选择。

    • 参数值会被自动转义,不需要担心特殊字符的处理。

    • 使用#符号会产生预编译的SQL语句,可以提高数据库的性能,因为数据库可以缓存相同的预编译语句。

    xml 复制代码
    <!-- 使用#符号进行参数占位 -->
    <select id="getUserById" parameterType="int" resultType="User">
      SELECT * FROM users
      WHERE id = #{userId}
    </select>
  6. $符号(Dollar Sign

    • $符号用于简单的值替换,不进行预编译,直接将参数的值嵌入SQL语句中。

    • 适用于那些不需要参数值预编译,且参数值是确定且可信的情况,比如用于动态拼接SQL语句的情况。

    • 使用$符号时,需要小心防止SQL注入攻击,需要手动处理参数值的安全性。

    • 不会产生预编译的SQL语句,可能会导致数据库性能较低,因为每次SQL语句都会重新解析和执行。

    XML 复制代码
    <!-- 使用$符号进行简单值替换 -->
    <select id="getUserByName" parameterType="string" resultType="User">
      SELECT * FROM users
      WHERE username = '${username}'
    </select>

三、最后说一下$动态 拼接SQL

下面是一个实例:

xml 复制代码
<select id="getUsersWithDynamicSorting" parameterType="map" resultType="User">
  SELECT * FROM users
  WHERE 1=1 <!-- 为了方便拼接,可以始终使用一个始终成立的条件 -->

  <!-- 根据参数动态拼接排序字段和排序顺序 -->
  <if test="sortField != null and sortOrder != null">
    ORDER BY ${sortField} ${sortOrder}
  </if>

</select>
相关推荐
AOwhisky11 小时前
下一代容器来了?Docker 宣布原生支持 WebAssembly
java·运维·docker·容器·rust·wasm
云云只是个程序马喽13 小时前
海外短剧平台搭建方案:私有化源码系统选型|云微短剧系统技术架构拆解
java·php
数聚天成DeepSData13 小时前
遥感农业数据集下载全攻略
数据库·人工智能·深度学习·机器学习·自然语言处理·数据挖掘
一勺菠萝丶13 小时前
生产环境平滑升级实战-Nginx维护页数据库迁移与安全回滚
数据库·nginx·安全
心静自然凉80014 小时前
MySQL主从同步配置(一主一从)
数据库
C137的本贾尼14 小时前
第七篇:消息队列(MQ)——就是个带存储的异步通信管道
java·开发语言·中间件
Flittly14 小时前
【AgentScope Java新手村系列】(19)多模态-图像音频视频
java·spring boot·spring
haidy ahmed14 小时前
企微复杂审批流反序列化:动态表单解析引擎与EAV存储模型
数据库·人工智能·自动化·企业微信
Javatutouhouduan14 小时前
国内大厂Java面试高频题库(2026突击版)
java·架构师·java面试·java面试题·后端开发·java程序员·java八股文
Lihua奏14 小时前
MVCC:为什么多人同时读写数据,数据库还能不乱
数据库