mybatis中${}和#{}的区别

先测试,再说结论

java 复制代码
userService.selectStudentByClssIds(10000, "'wzh' or 1=1");
java 复制代码
    List<StudentEntity> selectStudentByClssIds(@Param("stuId") int stuId, @Param("field") String field);
xml 复制代码
 <select id="selectStudentByClssIds" resultMap="StudentResultMap">
        SELECT
           student_id, name, age, gender
        FROM students where name = ${field}
    </select>

控制台sql执行日志

对比一下,如果是把${field}替换成#{filed}

再玩个更有趣的,如果我们某个sql查询字段需要通过入参确定,如下

xml 复制代码
<select id="selectStudentByClssIds" resultMap="StudentResultMap">
        SELECT
           student_id, #{field}, age, gender
        FROM students;
    </select>

我们的入参为name,测试结果如下

也就是说这个sql变成了SELECT student_id, 'wzh', age, gender FROM students;

我们把#{field}替换成${filed}再看一下

xml 复制代码
<select id="selectStudentByClssIds" resultMap="StudentResultMap">
        SELECT
           student_id, ${field}, age, gender
        FROM students;
    </select>

如下,恢复正常了

综上

在 MyBatis 中,#{} 和 ${} 是两种不同的占位符语法,用于处理 SQL 语句中的参数。它们的用途和效果各不相同,不可以混淆

#{} 用于将参数值作为预编译语句的参数。MyBatis 会将该参数值绑定到 SQL 语句中,并自动转换为 SQL 对应类型和进行转义,从而提高安全性,防止 SQL 注入。

{} 用于字符串替换,它直接将传入的参数值插入到 SQL 语句中。MyBatis 不会对使用 {} 的参数进行处理或转义。 使用 ${} 时,参数直接拼接到 SQL 语句中,因此,如果传入的参数是用户输入的值,没有经过适当的验证和清理,会导致 SQL 注入风险。当您需要动态生成 SQL 语句的部分,如表名、列名等结构时。此时参数不能是用户输入,如,动态指定表名或列名

sql 复制代码
SELECT * FROM ${tableName} WHERE id = #{id} 
相关推荐
一头生产的驴8 分钟前
java整合itext pdf实现自定义PDF文件格式导出
java·spring boot·pdf·itextpdf
YuTaoShao15 分钟前
【LeetCode 热题 100】73. 矩阵置零——(解法二)空间复杂度 O(1)
java·算法·leetcode·矩阵
zzywxc78718 分钟前
AI 正在深度重构软件开发的底层逻辑和全生命周期,从技术演进、流程重构和未来趋势三个维度进行系统性分析
java·大数据·开发语言·人工智能·spring
九丝城主31 分钟前
2025使用VM虚拟机安装配置Macos苹果系统下Flutter开发环境保姆级教程--上篇
服务器·flutter·macos·vmware
南瓜胖胖2 小时前
【seismic unix相速度分析-频散曲线】
服务器·unix
YuTaoShao3 小时前
【LeetCode 热题 100】56. 合并区间——排序+遍历
java·算法·leetcode·职场和发展
程序员张33 小时前
SpringBoot计时一次请求耗时
java·spring boot·后端
热爱生活的猴子5 小时前
阿里云服务器正确配置 Docker 国内镜像的方法
服务器·阿里云·docker
llwszx6 小时前
深入理解Java锁原理(一):偏向锁的设计原理与性能优化
java·spring··偏向锁
云泽野6 小时前
【Java|集合类】list遍历的6种方式
java·python·list