SQL中,# 和 $ 用于不同的占位符语法

在 MyBatis 的 SQL 映射文件(如 .xml 文件)中,# 和 $ 用于不同的占位符语法,它们有以下区别:

#{} 占位符:

预编译处理:#{} 中的内容会被视为一个 JDBC 预编译语句的参数。MyBatis 会将其替换为 ?,并使用 PreparedStatement 来设置参数值。

防止 SQL 注入:由于使用了预编译语句,可以有效防止 SQL 注入攻击。

类型安全:MyBatis 会根据 Java 类型自动处理数据类型的转换。

示例:

XML 复制代码
 <select id="selectUsers" parameterType="int" resultType="hashmap">
      SELECT * FROM users WHERE id = #{userId}
 </select>

${} 占位符:

直接替换:${} 中的内容会被直接替换为变量的值,不会进行预编译处理。这相当于将变量值直接拼接到 SQL 字符串中。

存在 SQL 注入风险:由于是直接替换,如果输入未经严格校验,可能会导致 SQL 注入攻击。

灵活性:适用于一些动态 SQL 场景,例如表名或列名的动态替换。

示例:

XML 复制代码
<select id="selectUsersByTableName" resultType="hashmap">
      SELECT * FROM ${tableName}
</select>
相关推荐
写代码的小阿帆1 小时前
Java体系总结——从基础语法到微服务
java·微服务·学习方法
CUMT_DJ2 小时前
matlab计算算法的运行时间
开发语言·算法·matlab
SUPER52663 小时前
FastApi项目启动失败 got an unexpected keyword argument ‘loop_factory‘
java·服务器·前端
咕噜咕噜啦啦4 小时前
Eclipse集成开发环境的使用
java·ide·eclipse
Overboom5 小时前
[C++] --- 常用设计模式
开发语言·c++·设计模式
Univin5 小时前
C++(10.4)
开发语言·数据结构·c++
KyollBM5 小时前
每日羊题 (质数筛 + 数学 | 构造 + 位运算)
开发语言·c++·算法
光军oi6 小时前
全栈开发杂谈————关于websocket若干问题的大讨论
java·websocket·apache
weixin_419658316 小时前
Spring 的统一功能
java·后端·spring
Paul_09207 小时前
golang面经——map模块和sync.Map模块
开发语言