MyBatis 中 mapper 文件里 #{} 与 ${} 的核心区别
MyBatis 的 mapper 文件中,#{}和${}是两种参数占位符,核心差异在于参数解析方式、SQL 注入风险、适用场景,以下从底层原理、使用场景、示例等维度详细解析:
一、核心区别对比表
| 特性 | #{} |
${} |
|---|---|---|
| 解析方式 | 预编译处理:MyBatis 将#{}替换为?,通过 PreparedStatement 设置参数(setXxx()) |
字符串替换:直接将参数拼接到 SQL 语句中,无预编译 |
| SQL 注入风险 | 安全(参数会被自动转义) | 危险(直接拼接,易触发 SQL 注入) |
| 参数类型处理 | 自动识别参数类型,自动加引号(如字符串参数拼接后为'value') |
不处理类型,直接拼接(字符串需手动加引号) |
| 适用场景 | 常规参数传递(列值、条件值) | 动态表名、列名、排序字段等 SQL 语法部分 |
| 性能 | 预编译可复用执行计划,性能高 | 每次拼接生成新 SQL,性能低 |
二、底层原理与示例
1. #{}:预编译占位符(推荐)
原理
MyBatis 解析#{}时,会将其替换为 JDBC 的?占位符,生成PreparedStatement,并通过setInt()/setString()等方法设置参数,参数会被自动转义(如特殊字符'会被处理为\'),从根本上避免 SQL 注入。
示例
Mapper 文件:
XML
<select id="getUserById" resultType="User">
SELECT id, name, age FROM user WHERE id = #{id}
</select>实际执行的 SQL(参数 id=1):
sql
-- MyBatis生成PreparedStatement,参数通过setInt(1, 1)设置
SELECT id, name, age FROM user WHERE id = ?字符串参数示例(name="张三"):
XML
<select id="getUserByName" resultType="User">
SELECT id, name, age FROM user WHERE name = #{name}
</select>实际执行 :参数会被自动加引号,等价于WHERE name = '张三',若参数含特殊字符(如张三' OR 1=1),会被转义为'张三\' OR 1=1',避免注入。
2. ${}:字符串拼接(慎用)
原理
MyBatis 直接将${}替换为参数的原始字符串,无任何转义处理,相当于 "硬拼接" SQL,因此存在严重的 SQL 注入风险,但可用于动态指定 SQL 语法的部分(如表名、列名)。
示例
动态表名(按年月分表):
XML
<select id="getUserByMonth" resultType="User">
SELECT id, name FROM user_${month} WHERE id = #{id}
</select>参数 month="202512",id=1 时,实际执行 SQL:
sql
SELECT id, name FROM user_202512 WHERE id = ?风险示例(SQL 注入) :若使用${}接收用户输入的排序字段:
sql
<select id="getUserList" resultType="User">
SELECT id, name FROM user ORDER BY ${sortField}
</select>当用户传入sortField="id; DROP TABLE user;"时,拼接后的 SQL 为:
sql
SELECT id, name FROM user ORDER BY id; DROP TABLE user;直接导致表被删除,风险极高。
三、关键使用原则
1. 优先使用#{}
所有常规参数(如查询条件、插入 / 更新的列值)必须用#{},杜绝 SQL 注入风险,同时享受预编译的性能优势。
2. 仅在必要时使用${}
仅当需要动态指定 SQL 语法元素时使用${},且必须做严格的参数校验:
java
// 对${}参数做白名单校验(示例:仅允许指定的排序字段)
public List<User> getUserList(String sortField) {
// 白名单
List<String> allowedFields = Arrays.asList("id", "name", "age");
if (!allowedFields.contains(sortField)) {
sortField = "id"; // 默认值,防止注入
}
return userMapper.getUserList(sortField);
}3. 特殊场景的兼容处理
模糊查询 :#{}可配合CONCAT使用(推荐),而非${}:
sql
<!-- 正确:避免注入 -->
SELECT * FROM user WHERE name LIKE CONCAT('%', #{name}, '%')
<!-- 错误:易注入 -->
SELECT * FROM user WHERE name LIKE '%${name}%'批量插入 :MyBatis 的foreach标签中,集合元素用#{}:
XML
<insert id="batchInsert">
INSERT INTO user (name, age) VALUES
<foreach collection="list" item="item" separator=",">
(#{item.name}, #{item.age})
</foreach>
</insert>四、总结
| 场景 | 推荐用法 | 注意事项 |
|---|---|---|
| 传递列值 / 条件值 | #{} |
自动转义,无注入风险 |
| 动态表名 / 列名 / 排序 | ${} + 白名单 |
必须校验参数,限制取值范围 |
| 模糊查询 | #{} + CONCAT |
避免直接拼接%${}% |
核心记住:#{}是 "安全的预编译",${}是 "危险的字符串拼接",开发中除非明确需要动态拼接 SQL 语法,否则一律使用#{}。