{}为预编译占位符,安全且防SQL注入,优先使用;${}为字符串替换,存在注入风险,仅用于动态表名等无法预编译场景。
在Java后端开发中使用MyBatis时,#{} 和 ${} 都用于在SQL语句中插入动态参数,但它们的处理方式和安全性有本质区别。
MyBatis 会将 #{} 解析为预编译的 PreparedStatement 参数占位符(即 ?),然后通过 set 方法设置实际值。这种方式能有效防止 SQL 注入。
特点:
<select id="getUser" resultType="User">
SELECT * FROM user WHERE name = #{userName}
</select>
如果传入 userName = "zhangsan",最终执行的 SQL 是:
立即学习“Java免费学习笔记(深入)”;
SELECT * FROM user WHERE name = ?
参数通过 setString(1, "zhangsan") 设置,不会拼接进 SQL 字符串。
MyBatis 会把 ${} 中的内容直接替换成原始字符串,不做任何转义或预处理。相当于字符串拼接,容易导致 SQL 注入。
适用场景:
<select id="getUserByTable" resultType="User">
SELECT * FROM ${tableName} WHERE id = #{id}
</select>
如果 tableName = "user",id = 1,则生成:
SELECT * FROM user WHERE id = ?
注意:表名部分是直接替换的,没有引号包裹,也不能被预编译保护。
基本上就这些。日常开发中,能用 #{} 就不用 ${},除非确实需要动态 SQL 结构。不复杂但容易忽略的是:很多人误以为 ${} 只是“不加引号”,其实它完全跳过了预编译机制,这才是危险根源。
java怎么学习?java怎么入门?java在哪学?java怎么学才快?不用担心,这里为大家提供了java速学教程(入门到精通),有需要的小伙伴保存下载就能学习啦!
广告Copyright 2014-2025 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号
602
收藏
