MyBatis中的${}和#{}区别

在MyBatis 中,${}和#{}是用于传递参数到SQL语句中的两种不同方式,它们的主要区别在于处理方式和用途:

1. #{}(预处理参数)

  • #{}是参数占位符,MyBatis会将其替换为预处理语句(PreparedStatement)的参数占位符?。
  • 使用 #{}时,MyBatis会自动为SQL参数提供适当的转义,防止SQL注入攻击。
  • #{}通常用于传入参数值,如字符串、数字等。
  • 当SQL中需要使用参数的值时,应该使用 #{}。

使用案例:

XML 复制代码
<select id="selectUserById" resultType="User">
    SELECT * FROM users WHERE id = #{id}
</select>

在这个例子中,#{id} 会被替换为?,并且实际的id值会被安全地传递给SQL语句。

2. ${}(字符串替换)

  • ${} 是文本替换,MyBatis会将其替换为实际的字符串值。
  • 使用${}时,传入的字符串将直接拼接到SQL语句中,没有预处理或转义,因此有 SQL 注入的风险。
  • ${} 通常用于传入SQL片段,如表名、列名、数据库函数等。
  • 当需要动态构建SQL语句的一部分时,可以使用${}。

使用案例:

XML 复制代码
<select id="selectUsersByName" resultType="User">
    SELECT * FROM users WHERE name like '%${searchName}%'
</select>

在这个例子中,${searchName}会被替换为实际的搜索名称,并且直接拼接到SQL语句中。注意,这种方式可能会导致SQL注入,因此在使用时需要非常小心。

3.安全提示

推荐尽可能使用#{},因为它提供了预处理语句的保护,可以防止SQL注入攻击。

只有在你完全信任传入的值,或者需要动态构建SQL片段(如表名、列名)时,才使用${}。

4.性能提示

#{}使用预处理语句,可能会稍微影响性能,因为每次执行 SQL 时都需要重新编译。

${}直接拼接字符串,性能上可能稍好一些,但牺牲了安全性。

在实际开发中,应该根据实际情况和安全考虑来选择合适的参数传递方式。

相关推荐
不像程序员的程序媛7 小时前
系统cpu内存负载资源分析
运维·服务器·数据库
Jane Chiu8 小时前
Oracle DBMS_REDEFINITION(在线重定义)
数据库·oracle·分区表
全栈前端老曹9 小时前
【MongoDB】安全与权限管理 —— 用户认证、角色权限、SSL 加密
前端·javascript·数据库·安全·mongodb·nosql·ssl
怕孤单的草丛9 小时前
缓存管理面临的主要问题
java·数据库·缓存
我会尽全力 乐观而坚强10 小时前
MySQL零基础入门(二)
数据库·mysql·adb
kali-Myon11 小时前
某校园门禁系统高危 SQL 注入漏洞挖掘复盘
数据库·sql·安全·web安全
程序员在囧途12 小时前
likeadmin-api API 中转站怎么做统一报价?从 /pricing、/user/balance 到 task_id 回执的落地方法
运维·服务器·数据库·likeadmin-api·api中转站·token计费
龙石数据12 小时前
MySQL 全量同步到 Hive 怎么做?三步配置教程
数据库·hive·mysql·数据治理·数据中台
程序员在囧途13 小时前
likeadmin-api API 算力超市怎么做供应商切换?统一鉴权、task_id 和 callback_url 才能稳交付
java·服务器·数据库·开放api·likeadmin-api·api算力超市