mybatis中${}和#{}的区别

先测试,再说结论

java 复制代码
userService.selectStudentByClssIds(10000, "'wzh' or 1=1");
java 复制代码
    List<StudentEntity> selectStudentByClssIds(@Param("stuId") int stuId, @Param("field") String field);
xml 复制代码
 <select id="selectStudentByClssIds" resultMap="StudentResultMap">
        SELECT
           student_id, name, age, gender
        FROM students where name = ${field}
    </select>

控制台sql执行日志

对比一下,如果是把${field}替换成#{filed}

再玩个更有趣的,如果我们某个sql查询字段需要通过入参确定,如下

xml 复制代码
<select id="selectStudentByClssIds" resultMap="StudentResultMap">
        SELECT
           student_id, #{field}, age, gender
        FROM students;
    </select>

我们的入参为name,测试结果如下

也就是说这个sql变成了SELECT student_id, 'wzh', age, gender FROM students;

我们把#{field}替换成${filed}再看一下

xml 复制代码
<select id="selectStudentByClssIds" resultMap="StudentResultMap">
        SELECT
           student_id, ${field}, age, gender
        FROM students;
    </select>

如下,恢复正常了

综上

在 MyBatis 中,#{} 和 ${} 是两种不同的占位符语法,用于处理 SQL 语句中的参数。它们的用途和效果各不相同,不可以混淆

#{} 用于将参数值作为预编译语句的参数。MyBatis 会将该参数值绑定到 SQL 语句中,并自动转换为 SQL 对应类型和进行转义,从而提高安全性,防止 SQL 注入。

{} 用于字符串替换,它直接将传入的参数值插入到 SQL 语句中。MyBatis 不会对使用 {} 的参数进行处理或转义。 使用 ${} 时,参数直接拼接到 SQL 语句中,因此,如果传入的参数是用户输入的值,没有经过适当的验证和清理,会导致 SQL 注入风险。当您需要动态生成 SQL 语句的部分,如表名、列名等结构时。此时参数不能是用户输入,如,动态指定表名或列名

sql 复制代码
SELECT * FROM ${tableName} WHERE id = #{id} 
相关推荐
月亮不月亮3 分钟前
月亮商场购物打折Java
java·eclipse
guozhetao12 分钟前
【ST表、倍增】P7167 [eJOI 2020] Fountain (Day1)
java·c++·python·算法·leetcode·深度优先·图论
技术思考者13 分钟前
基础很薄弱如何规划考研
java·经验分享·考研
●VON36 分钟前
重生之我在暑假学习微服务第二天《MybatisPlus-下篇》
java·学习·微服务·架构·mybatis-plus
老华带你飞36 分钟前
口腔助手|口腔挂号预约小程序|基于微信小程序的口腔门诊预约系统的设计与实现(源码+数据库+文档)
java·数据库·微信小程序·小程序·论文·毕设·口腔小程序
hqxstudying1 小时前
J2EE模式---服务层模式
java·数据库·后端·spring·oracle·java-ee
GM_8281 小时前
【最新最完整】SpringAI-1.0.0开发MCP Server,搭建MCP Client 实战笔记(进阶+详细+完整代码)
java·后端·ai编程·springai·mcp
都叫我大帅哥1 小时前
Java DelayQueue:时间管理大师的终极武器
java
秋千码途1 小时前
小架构step系列27:Hibernate提供的validator
java·spring·架构·hibernate
都叫我大帅哥1 小时前
TOGAF迁移规划阶段全解密:从菜鸟到达人的通关秘籍
java