mybatis#号和$区别

MyBatis中,`#{}`${}都是用于实现动态SQL的占位符,但它们在使用场景和安全性上有明显的区别:

  1. 用途区别

    • #{}主要用于传递接口传输过来的具体数据,如参数值,它可以防止SQL注入,因为MyBatis会对#{}中的参数进行预编译处理,将参数值安全地传递给数据库,并且自动转义特殊字符,避免SQL注入攻击。这种方式适用于大多数情况,尤其是当参数值来自用户输入或不可信数据时。例如: SELECT * FROM users WHERE id = #{userId}

      java 复制代码
          "#{}":MyBatis会使用预编译的SQL语句,并为每个参数,设置相应的占位符(通常是"?"),
          
          然后,当执行SQL时,MyBatis会使用 "PreparedStatement 的 setXXX()方法"来设置参数值,
          
          这种方式,可以有效地防止SQL注入攻击,
      
          因为,参数值不会被解析为SQL的一部分。
    • ${}则一般用于传入数据库对象,例如列表和表名,它不会对参数进行预编译处理,而是直接将参数拼接 到了原始的SQL里面。这种方式可以适合应用在一些动态SQL场景中,比如动态传递表名、动态设置排序字段等,但由于不会对参数进行特殊处理,存在SQL注入的风险。

      sql 复制代码
      SELECT * FROM users WHERE id = ${userId} 
      相当于 "SELECT * FROM users WHERE id =" + userId
  2. 安全性

    • #{}由于具有更高的安全性,能够防止SQL注入,因此在能够使用#{}的地方应尽量避免使用${}。使用#{}产生的预编译SQL语句可以提高数据库性能,因为数据库可以缓存相同的预编译语句。
    • ${}由于直接拼接原始SQL语句,无法防止SQL注入的问题,因此在需要动态参数的场景中应谨慎使用,确保传入的数据是安全的。
  3. 总结

    • 在实际应用中,应优先考虑使用#{}占位符来传递参数,以避免潜在的安全风险。只有在确实需要动态拼接原始SQL语句的情况下,才考虑使用${}占位符,并确保传入的数据经过适当的验证和过滤。
相关推荐
DFT计算杂谈31 分钟前
vasp如何计算金属的铁电极化强度?
数据库
EterNity_TiMe_40 分钟前
别让告警变成噪音:用Prometheus和Alertmanager搭一套可远程查看的监控系统
数据库·人工智能·ai·postgresql·prometheus·cpolar
不超限1 小时前
Postgresql 数据库 自增字段,Vastbase 无效的问题
数据库
阿坤带你走近大数据1 小时前
Oracle新老SQL写法对比
数据库·sql·oracle
努力努力再努力wz2 小时前
【高性能网络库与HTTP Server系列】:基于主从 Reactor 模型实现高性能 C++ 网络库与 HTTP Server
开发语言·网络·数据结构·数据库·c++·网络协议·http
HackTwoHub2 小时前
某单位 CMS 完整渗透链、SQL 注入→后台拿权→绕过宝塔 Waf 上线 shell
数据库·人工智能·sql·安全·网络安全·系统安全·安全架构
Elastic 中国社区官方博客3 小时前
使用 Elasticsearch 作为 Grafana 的直接替代 Prometheus 后端
大数据·数据库·sql·elasticsearch·搜索引擎·grafana·prometheus
杨婷1233 小时前
2026 企业微信会话存档服务商选型指南:一维助手方案深度解析
大数据·数据库·企业微信
霸道流氓气质3 小时前
Kiro 配置 MySQL MCP Server 通用教程
数据库·mysql·adb·mcp·kiro
2601_963771373 小时前
Optimizing Logistics and Transportation Sites on WordPress
前端·数据库·windows·php