mybatis中${}和#{}的区别

先测试,再说结论

java 复制代码
userService.selectStudentByClssIds(10000, "'wzh' or 1=1");
java 复制代码
    List<StudentEntity> selectStudentByClssIds(@Param("stuId") int stuId, @Param("field") String field);
xml 复制代码
 <select id="selectStudentByClssIds" resultMap="StudentResultMap">
        SELECT
           student_id, name, age, gender
        FROM students where name = ${field}
    </select>

控制台sql执行日志

对比一下,如果是把${field}替换成#{filed}

再玩个更有趣的,如果我们某个sql查询字段需要通过入参确定,如下

xml 复制代码
<select id="selectStudentByClssIds" resultMap="StudentResultMap">
        SELECT
           student_id, #{field}, age, gender
        FROM students;
    </select>

我们的入参为name,测试结果如下

也就是说这个sql变成了SELECT student_id, 'wzh', age, gender FROM students;

我们把#{field}替换成${filed}再看一下

xml 复制代码
<select id="selectStudentByClssIds" resultMap="StudentResultMap">
        SELECT
           student_id, ${field}, age, gender
        FROM students;
    </select>

如下,恢复正常了

综上

在 MyBatis 中,#{} 和 ${} 是两种不同的占位符语法,用于处理 SQL 语句中的参数。它们的用途和效果各不相同,不可以混淆

#{} 用于将参数值作为预编译语句的参数。MyBatis 会将该参数值绑定到 SQL 语句中,并自动转换为 SQL 对应类型和进行转义,从而提高安全性,防止 SQL 注入。

{} 用于字符串替换,它直接将传入的参数值插入到 SQL 语句中。MyBatis 不会对使用 {} 的参数进行处理或转义。 使用 ${} 时,参数直接拼接到 SQL 语句中,因此,如果传入的参数是用户输入的值,没有经过适当的验证和清理,会导致 SQL 注入风险。当您需要动态生成 SQL 语句的部分,如表名、列名等结构时。此时参数不能是用户输入,如,动态指定表名或列名

sql 复制代码
SELECT * FROM ${tableName} WHERE id = #{id} 
相关推荐
热爱生活的猴子2 小时前
阿里云服务器正确配置 Docker 国内镜像的方法
服务器·阿里云·docker
llwszx3 小时前
深入理解Java锁原理(一):偏向锁的设计原理与性能优化
java·spring··偏向锁
云泽野4 小时前
【Java|集合类】list遍历的6种方式
java·python·list
二进制person4 小时前
Java SE--方法的使用
java·开发语言·算法
小阳拱白菜5 小时前
java异常学习
java
FrankYoou6 小时前
Jenkins 与 GitLab CI/CD 的核心对比
java·docker
计算机毕设定制辅导-无忧学长6 小时前
西门子 PLC 与 Modbus 集成:S7-1500 RTU/TCP 配置指南(一)
服务器·数据库·tcp/ip
麦兜*6 小时前
Spring Boot启动优化7板斧(延迟初始化、组件扫描精准打击、JVM参数调优):砍掉70%启动时间的魔鬼实践
java·jvm·spring boot·后端·spring·spring cloud·系统架构
KK溜了溜了7 小时前
JAVA-springboot 整合Redis
java·spring boot·redis
天河归来7 小时前
使用idea创建springboot单体项目
java·spring boot·intellij-idea