SQL中,# 和 $ 用于不同的占位符语法

在 MyBatis 的 SQL 映射文件(如 .xml 文件)中,# 和 $ 用于不同的占位符语法,它们有以下区别:

#{} 占位符:

预编译处理:#{} 中的内容会被视为一个 JDBC 预编译语句的参数。MyBatis 会将其替换为 ?,并使用 PreparedStatement 来设置参数值。

防止 SQL 注入:由于使用了预编译语句,可以有效防止 SQL 注入攻击。

类型安全:MyBatis 会根据 Java 类型自动处理数据类型的转换。

示例:

XML 复制代码
 <select id="selectUsers" parameterType="int" resultType="hashmap">
      SELECT * FROM users WHERE id = #{userId}
 </select>

${} 占位符:

直接替换:${} 中的内容会被直接替换为变量的值,不会进行预编译处理。这相当于将变量值直接拼接到 SQL 字符串中。

存在 SQL 注入风险:由于是直接替换,如果输入未经严格校验,可能会导致 SQL 注入攻击。

灵活性:适用于一些动态 SQL 场景,例如表名或列名的动态替换。

示例:

XML 复制代码
<select id="selectUsersByTableName" resultType="hashmap">
      SELECT * FROM ${tableName}
</select>
相关推荐
Liquad Li2 分钟前
Salesforce高级开发面试题
java·网络·面试·crm·salesforce
天空'之城5 分钟前
Linux 系统编程 14:Reactor 反应堆模式
linux·开发语言·网络编程·reactor 反应堆模式
Zhou14113615 分钟前
Java常见面试题7
java·开发语言
^yi24 分钟前
【C++】类和对象(全)
开发语言·c++
带刺的坐椅37 分钟前
代码审查 Agent Harness 实战:AI 自动 Code Review
java·ai·llm·agent·solon·soloncode·harness
可儿·四系桜38 分钟前
经纬度转北斗网格位置码(非极地区域,编码篇)
java·物联网
唐青枫38 分钟前
Java ActiveMQ 实战指南:从 JMS 队列、主题到 Spring Boot 消息处理
java
Dovis(誓平步青云)39 分钟前
《C/C+++ Boost 轻量级搜索引擎实战:架构流程、技术栈与工程落地指南——HTML文件的清洗(上篇)》
开发语言·数据库·c++·搜索引擎·开源
布朗克1681 小时前
Go 入门到精通-13-指针与内存
开发语言·c++·golang·指针与内存