SQL中,# 和 $ 用于不同的占位符语法

在 MyBatis 的 SQL 映射文件(如 .xml 文件)中,# 和 $ 用于不同的占位符语法,它们有以下区别:

#{} 占位符:

预编译处理:#{} 中的内容会被视为一个 JDBC 预编译语句的参数。MyBatis 会将其替换为 ?,并使用 PreparedStatement 来设置参数值。

防止 SQL 注入:由于使用了预编译语句,可以有效防止 SQL 注入攻击。

类型安全:MyBatis 会根据 Java 类型自动处理数据类型的转换。

示例:

XML 复制代码
 <select id="selectUsers" parameterType="int" resultType="hashmap">
      SELECT * FROM users WHERE id = #{userId}
 </select>

${} 占位符:

直接替换:${} 中的内容会被直接替换为变量的值,不会进行预编译处理。这相当于将变量值直接拼接到 SQL 字符串中。

存在 SQL 注入风险:由于是直接替换,如果输入未经严格校验,可能会导致 SQL 注入攻击。

灵活性:适用于一些动态 SQL 场景,例如表名或列名的动态替换。

示例:

XML 复制代码
<select id="selectUsersByTableName" resultType="hashmap">
      SELECT * FROM ${tableName}
</select>
相关推荐
Flittly5 分钟前
【日常小问】Docker 部署 Nacos 2.4.3,Dubbo 3.3 连接 Config Service 失败排查
java·spring boot·dubbo
chouchuang15 分钟前
day-027-面向对象-下
开发语言·python
誰能久伴不乏18 分钟前
C++11 随机数生成——告别 rand()
开发语言·c++
海清河晏11121 分钟前
数据结构 | 二叉平衡搜索树
开发语言·数据结构·visual studio
kuonyuma32 分钟前
java之动态代理
java·开发语言
衔烛之龙134 分钟前
Windows x64 构建 liboqs-java教程
java·windows·python
KouFiee38 分钟前
同名隐藏基础
开发语言·c++
一路向北North43 分钟前
Spring Security OAuth2.0(20):完善环境配置
java·后端·spring
Java面试题总结44 分钟前
IntelliJ IDEA 从卡顿到起飞,只用改这些。。。
java·ide·intellij-idea
z落落1 小时前
C# Task WaitAll、WaitAny、WhenAll、WhenAny
开发语言·c#