mybatis中${}和#{}的区别

先测试,再说结论

java 复制代码
userService.selectStudentByClssIds(10000, "'wzh' or 1=1");
java 复制代码
    List<StudentEntity> selectStudentByClssIds(@Param("stuId") int stuId, @Param("field") String field);
xml 复制代码
 <select id="selectStudentByClssIds" resultMap="StudentResultMap">
        SELECT
           student_id, name, age, gender
        FROM students where name = ${field}
    </select>

控制台sql执行日志

对比一下,如果是把${field}替换成#{filed}

再玩个更有趣的,如果我们某个sql查询字段需要通过入参确定,如下

xml 复制代码
<select id="selectStudentByClssIds" resultMap="StudentResultMap">
        SELECT
           student_id, #{field}, age, gender
        FROM students;
    </select>

我们的入参为name,测试结果如下

也就是说这个sql变成了SELECT student_id, 'wzh', age, gender FROM students;

我们把#{field}替换成${filed}再看一下

xml 复制代码
<select id="selectStudentByClssIds" resultMap="StudentResultMap">
        SELECT
           student_id, ${field}, age, gender
        FROM students;
    </select>

如下,恢复正常了

综上

在 MyBatis 中,#{} 和 ${} 是两种不同的占位符语法,用于处理 SQL 语句中的参数。它们的用途和效果各不相同,不可以混淆

#{} 用于将参数值作为预编译语句的参数。MyBatis 会将该参数值绑定到 SQL 语句中,并自动转换为 SQL 对应类型和进行转义,从而提高安全性,防止 SQL 注入。

{} 用于字符串替换,它直接将传入的参数值插入到 SQL 语句中。MyBatis 不会对使用 {} 的参数进行处理或转义。 使用 ${} 时,参数直接拼接到 SQL 语句中,因此,如果传入的参数是用户输入的值,没有经过适当的验证和清理,会导致 SQL 注入风险。当您需要动态生成 SQL 语句的部分,如表名、列名等结构时。此时参数不能是用户输入,如,动态指定表名或列名

sql 复制代码
SELECT * FROM ${tableName} WHERE id = #{id} 
相关推荐
不能跑的代码不是好代码5 小时前
Linux系统常用命令中文速查表
linux·运维·服务器
wuqingshun3141595 小时前
什么是责任链模式,一般用在什么场景?
java·责任链模式
石一峰6996 小时前
深入理解 Linux 中断三层机制与 1-Wire 时序锁原理
linux·运维·服务器
:-)6 小时前
算法-归并排序
java·开发语言·数据结构·算法·排序算法
wuqingshun3141596 小时前
说一下消息队列的模型有哪些?
java
无限码农7 小时前
Linux上通过cmake编译uchardet
linux·运维·服务器
fīɡЙtīиɡ ℡7 小时前
布隆过滤器
java
yaoxin5211238 小时前
462. Java 反射 - 获取声明类与封闭类
java·开发语言·python
ACP广源盛139246256738 小时前
IX8024@ACP# 搭配此芯 AI 服务器 + 爱芯元智产品完整方案
大数据·运维·服务器·人工智能·分布式·嵌入式硬件
Hiyajo pray10 小时前
SDN 访问控制性能调优方法
服务器·网络·网络安全