深入分析mybatis中#{}和${}的区别

雷渊2025-04-02 18:58

知其然要知其所以然,探索每一个知识点背后的意义,你知道的越多,你不知道的越多,一起学习,一起进步,如果文章感觉对您有用的话,关注、收藏、点赞,有困惑的地方请评论,我们一起交流!

深入分析MyBatis中#{}${}的区别

1. 核心区别概述

特性 #{} ${}
处理方式 预编译参数(占位符) 直接文本替换(字符串拼接)
安全性 防止SQL注入 存在SQL注入风险
适用场景 动态参数值(如WHERE条件) 动态SQL片段(如表名、列名)
数据类型处理 自动类型转换(如String→VARCHAR) 原样替换(需手动处理类型)

2. 底层原理剖析

(1)#{}的工作流程

  1. 解析阶段
    MyBatis将#{}转换为JDBC的PreparedStatement占位符(?)。

  2. 执行阶段
    通过ps.setXxx()方法安全地设置参数值,例如:

    java 复制代码 
    // 生成的JDBC代码
PreparedStatement ps = conn.prepareStatement("SELECT * FROM user WHERE id = ?");
ps.setInt(1, 5);  // 自动类型安全处理
(2)${}的工作流程

  1. 解析阶段
    MyBatis直接替换${}为字符串内容(无占位符)。

  2. 执行阶段
    生成静态SQL语句,例如:

    java 复制代码 
    // 假设${tableName}的值为"user"
Statement stmt = conn.createStatement("SELECT * FROM user");  // 直接拼接

3. 安全性与SQL注入

  • #{}示例(安全)

    xml 复制代码 
    <select id="getUser" resultType="User">
    SELECT * FROM user WHERE name = #{name}
</select>

    • 输入name = "admin' OR '1'='1"时,会被转义为:

      sql 复制代码 
      SELECT * FROM user WHERE name = 'admin'' OR ''1''=''1'

  • ${}示例(危险)

    xml 复制代码 
    <select id="getUser" resultType="User">
    SELECT * FROM user WHERE name = '${name}'
</select>

    • 输入name = "admin' OR '1'='1"时,直接拼接为:

      sql 复制代码 
      SELECT * FROM user WHERE name = 'admin' OR '1'='1'  -- 返回所有数据!

4. 性能对比

维度 #{} ${}
SQL解析 需预编译(首次稍慢) 直接替换(无预编译开销)
数据库缓存 可复用执行计划(高效) 每次生成新SQL(无法复用)
网络传输 仅传输参数(体积小) 传输完整SQL(体积大)

5. 适用场景与反例

#{}的正确使用

  • 动态条件值

    xml 复制代码 
    <select id="findUsers" resultType="User">
    SELECT * FROM user 
    WHERE status = #{status} AND create_time > #{createTime}
</select>
${}的合理使用

  • 动态表名/列名 (需手动过滤危险字符):

    xml 复制代码 
    <select id="queryFromTable" resultType="map">
    SELECT * FROM ${tableName} 
    WHERE ${columnName} = #{value}  <!-- 混合使用 -->
</select>
${}的错误使用

  • 直接拼接用户输入

    xml 复制代码 
    <!-- 危险!可能引发SQL注入 -->
<select id="login" resultType="User">
    SELECT * FROM user 
    WHERE username = '${username}' AND password = '${password}'
</select>

6. 特殊场景处理

(1)LIKE查询

  • 安全写法 (使用#{} + CONCAT):

    xml 复制代码 
    <select id="searchUsers" resultType="User">
    SELECT * FROM user 
    WHERE name LIKE CONCAT('%', #{keyword}, '%')
</select>
(2)IN语句

  • 动态参数列表 (结合MyBatis的foreach):

    xml 复制代码 
    <select id="getUsersByIds" resultType="User">
    SELECT * FROM user 
    WHERE id IN 
    <foreach item="id" collection="ids" open="(" separator="," close=")">
        #{id}
    </foreach>
</select>

7. 最佳实践总结

  1. 默认使用#{}
    所有动态参数值必须用#{},避免SQL注入。

  2. 谨慎使用${}
    仅用于动态SQL片段(如表名、ORDER BY子句),且需手动过滤危险字符:

    java 复制代码 
    // 在Java代码中校验表名合法性
if (!isValidTableName(tableName)) {
    throw new IllegalArgumentException("Invalid table name");
}

  3. 混合使用策略
    在需要动态SQL结构时组合两者:

    xml 复制代码 
    ORDER BY ${sortColumn} #{sortDirection}
相关推荐
virus59453 小时前
悟空CRM mybatis-3.5.3-mapper.dtd错误解决方案
java·开发语言·mybatis
计算机毕设VX:Fegn08953 小时前
计算机毕业设计|基于springboot + vue蛋糕店管理系统(源码+数据库+文档)
数据库·vue.js·spring boot·后端·课程设计
没差c4 小时前
springboot集成flyway
java·spring boot·后端
三水不滴4 小时前
Redis 过期删除与内存淘汰机制
数据库·经验分享·redis·笔记·后端·缓存
时艰.4 小时前
Java 并发编程之 CAS 与 Atomic 原子操作类
java·开发语言
编程彩机5 小时前
互联网大厂Java面试:从Java SE到大数据场景的技术深度解析
java·大数据·spring boot·面试·spark·java se·互联网大厂
笨蛋不要掉眼泪5 小时前
Spring Boot集成LangChain4j:与大模型对话的极速入门
java·人工智能·后端·spring·langchain
Yvonne爱编码5 小时前
JAVA数据结构 DAY3-List接口
java·开发语言·windows·python
像少年啦飞驰点、6 小时前
零基础入门 Spring Boot:从“Hello World”到可上线微服务的完整学习指南
java·spring boot·微服务·编程入门·后端开发
眼眸流转6 小时前
Java代码变更影响分析(一)
java·开发语言
热门推荐
01GitHub 镜像站点02一文了解国产算子编程语言 TileLang,TileLang 对国产开源生态的影响与启示03Claude Code Skills 实用使用手册04Vue-skills的中文文档05OpenCode 入门教程:介绍 · 安装 · 配置第三方 API (如 Claude)06UV安装并设置国内源07在Trae中使用Pencil MCP082025 年大语言模型发展回顾:关键突破、意外转折与 2026 年展望09Clawdbot 中文汉化版 接入微信、飞书10Claude Code + GLM4.7 避坑指南:解决 Unable to connect to Anthropic services