MyBatis 中,#{} 和 ${}的区别

1. 底层处理机制不同

  • #{}(预编译占位符) :采用预处理的方式执行 SQL。它会将传入的参数替换为 ? 占位符,并在数据库端进行预编译。MyBatis 会根据参数的数据类型自动进行处理,比如字符串类型会自动加上单引号,数字类型则直接传入。
  • ${}(字符串直接替换):仅仅是在内存中进行纯粹的字符串拼接,直接将参数原样输出到 SQL 语句中,不会做任何类型的转换或自动添加引号。如果传入的是字符串且没有手动加单引号,就会因为不符合 SQL 语法而报错。

2.安全性不同(最关键的区别)

  • #{} :由于采用了预编译机制,参数值会被当作纯粹的"数据"而不是"SQL 指令"来解析,因此能够有效防止 SQL 注入攻击,安全性极高。
  • ${} :因为是直接拼接字符串,如果用户传入了恶意的 SQL 关键字(例如 OR 1=1),这些内容会被数据库当作合法的 SQL 指令执行,从而改变原始 SQL 的逻辑,存在极大的 SQL 注入风险

3.使用场景不同

  • #{} :适用于绝大多数常规的数据传递场景,如 WHERE id = #{id}INSERT INTO user(name) VALUES(#{name}) 等。
  • ${} :仅适用于需要动态生成 SQL 结构的特殊场景。比如你需要动态指定表名(SELECT * FROM ${tableName})、动态排序字段或方向(ORDER BY price ${sort})。因为这些是 SQL 命令或关键字,如果用 #{} 加上单引号变成了字符串,就会导致 SQL 语法错误。
相关推荐
考虑考虑2 天前
Mybatis实现批量插入
java·后端·mybatis
敲个大西瓜16 天前
mybatis拦截器插件实现数据库字段加解密
mybatis
武子康16 天前
Java-28 深入浅出 Spring 实现简易Ioc-04 在上节的业务下手动实现AOP
java·后端·mybatis
一条泥憨鱼16 天前
苍穹外卖【day6|微信登录与商品浏览功能】
后端·mybatis·苍穹外卖
vx-Biye_Design16 天前
springboot安阳地区研学旅游服务小程序-计算机毕业设计源码12785
java·vue.js·windows·spring boot·tomcat·maven·mybatis
摇滚侠16 天前
MyBatis+Spring+SpringMVC SSM 整合 179-185
java·spring·mybatis
摇滚侠16 天前
MyBatis+Spring+SpringMVC SSM ContextLoaderListener 177-178
java·spring·mybatis
Spring小子17 天前
【Spring Boot + Vue + DeepSeek】从零打造一个AI驱动的智能健康分析系统
java·spring boot·mybatis
武子康17 天前
Java-27 深入浅出 Spring - 实现简易Ioc-03 在上节的业务下手动实现IoC 从 XML 配置到 BeanFactory 反射注入
java·后端·mybatis