mybatis使用#{}和${}的区别和原理

最新推荐文章于 2025-07-15 15:56:34 发布
原创 最新推荐文章于 2025-07-15 15:56:34 发布 · 501 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#sql #数据库

没有检索到摘要

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

#{}号的含义

默认情况下,使用 #{} 参数语法时,MyBatis 会创建 PreparedStatement 参数占位符,sql预编译,并通过占位符安全地设置参数(就像使用 ? 一样)。

${}号含义

${ } 仅仅为一个纯碎的 string 替换,在动态 SQL 解析阶段将会进行变量替换
${ } 的变量的替换阶段是在动态 SQL 解析阶段。

两者对比

(1)

  1. #{} 为参数占位符 ?,即sql 预编译

  2. ${} 为字符串替换,即 sql 拼接

(2)

  1. #{}:动态解析 -> 预编译 -> 执行

  2. ${}:动态解析 -> 编译 -> 执行

(3)

  1. #{} 的变量替换是在DBMS 中

  2. ${} 的变量替换是在 DBMS 外

(4)

  1. 变量替换后,#{} 对应的变量自动加上单引号 ‘’

  2. 变量替换后,${} 对应的变量不会加上单引号 ‘’

(5)

  1. #{} 能防止sql 注入

  2. ${} 不能防止sql 注入

总结

尽量使用#{},必须使用${}的时候,要么不允许用户输入这些字段,要么自行转义并检验这些参数。

MyBatis#{}${}的深度解析
记录学习的过程
05-07 982
符号名称官方称谓主要作用#{}井号占位符参数标记(Parameter Marker)预编译参数绑定${}美元符占位符字符串替换(String Substitution)直接字符串替换是否需要动态拼接SQL结构?├─ 是 → 是否涉及用户输入?│ ├─ 是 → 使用白名单校验 + ${}(极度谨慎)│ └─ 否 → 使用${}并确保参数可信└─ 否 → 一律使用#{}
MyBatis怎么使用动态表名(#$区别
wobuxiangxin1314的博客
11-06 1408
MyBatis怎么使用动态表名(#$区别
关于Mybatis$#,你真的知道他们的细节吗?
chutan5573的博客
07-09 497
前言 在JDBC中,主要使用的是两种语句,一种是支持参数化预编译的PrepareStatement,能够支持原生的Sql,也支持设置占位符的方式,参数化输入的参数,防止Sql注入,一种是支持原生Sql的Statement,有Sql注入的风险。 在使用Mybatis进行开发过程中,隐藏了底层具...
MyBatis】关于 MyBatis 的占位符 # $ 说明
aaa_hao的博客
08-28 3421
# :占位符,告诉 mybatis 使用实际的参数值代替。并使用 PrepareStatement 对象执行 sql 语句, #{…}代替 sql 语句的 “?”。这样做更安全,更迅速,通常也是首选做法 mapper 文件 : <select id="selectById" resultType="com.kaho.domain.Student"> select id,name,email,age from student where id=#{studentId} </selec
Mybatis${} #{} 有什么区别
最新发布
hhua0123的专栏
07-15 476
可以看出 ${} #{} 都是 MyBatis 中用来替换参数的,它们二者的区别主要体现在:${} 是直接替换,而 #{} 是预处理;需要传递普通参数时使用 #{};如果业务需要传递的是 SQL 命令或 SQL 关键字,需要使用${} ,但在使用前一定要做好安全验证;使用 ${} 存在安全问题,而 #{} 则不存在安全问题。
Mybatis #$区别以及原理
热门推荐
张井天的博客
06-04 4万+
总结: #可以防止Sql 注入,它会将所有传入的参数作为一个字符串来处理。 $ 则将传入的参数拼接到Sql上去执行,一般用于表名字段名参数,$ 所对应的参数应该由服务器端提供,前端可以用参数进行选择,避免 Sql 注入的风险 为什么? 为什么 # $ 的作用不同,Mybatis 对他们做了哪些惨无人道的处理,我们看一下下面的例子,并追踪一下源码总结。 示例代码: 创建一个 tb...
MyBaits中#{}${}的真正区别${}的使用场景,#{}如何防止注入?
芋艿V
01-12 315
点击上方“芋道源码”,选择“设为星标”管她前浪,还是后浪?能浪的浪,才是好浪!每天 10:33更新文章,每天掉亿点点头发...源码精品专栏原创 | Java 2021超神之路,很肝~...
mybatis 面试题
一个程序员的成长之路。。。
04-20 3134
1、Mybatis比IBatis比较大的几个改进是什么 答: 有接口绑定,包括注解绑定sqlxml绑定Sql , 动态sql由原来的节点配置变成OGNL表达式, 在一对一,一对多的时候引进了association,在一对多的时候引入了collection节点,不过都是在resultMap里面配置 2、什么是MyBatis的接口绑定,有什么好处 答:接口映射就是在IBatis中任意定义...
浅谈Mybatis #$区别以及原理
08-18
浅谈Mybatis #$区别以及原理 Mybatis是一款流行的持久层框架,它提供了两个占位符:#$,它们均用于参数化SQL语句,但是它们的作用原理却有所不同,本文将详细介绍这两者的区别原理#$区别 在...
mybatis#$区别
08-06
MyBatis的工作原理是通过配置文件来绑定 Java 对象数据库表,从而实现数据的增删改查操作。在配置文件中,我们可以定义各种 SQL 语句,并通过注解或xml方式将其 Java 方法绑定起来。这样,我们就可以通过调用...
sql注入、Mybatis中的#{参数}${参数}
qq_45859087的博客
08-08 1034
sql注入、Mybatis中的#{参数}${参数}sql注入概述:mybatis中的#{参数} ${参数}sql注入解决方案#{参数}${参数}总结 sql注入概述: 针对SQL注入的攻击行为可描述为:在用户交互的程序中(如web网页),非法用户通过可控参数注入SQL语法,将恶意sql语句输入拼接到原本设计好的SQL语句中,破坏原有SQL语法结构,执行了原定计划不同的行为,达到程序编写时意料之外结果的攻击行为,其本质就是使用了字符串拼接方式构造sql语句,并且对于用户输入检查不充分,导致SQL
Mybatis 工作原理详解
huangtenglong的博客
11-09 6034
mybatis:缓存、防止注入、标签使用,结果集封装从底层实现
mybatis${}#{}的区别 以及底层原理
hjfalz的博客
10-08 2269
${}: 不会自动加 ' ',如果传入参数为简单类型,那么必须写 ${value},如果是对象,写的是${属性名}; 底层解析的时候只要sql语句包含 ${ } ,在创建cofigration对象的时候,这条sql就会被解析成动态类型的语句,底层不会把 ${ } 转成 ?(不做处理),只会在使用Mapper接口代理对象进行数据操作的时候把#{ }转成 ?,把${ }转成mapper接口的参数值,所以会存在SQL注入的问题 #{}: 对于字符串会自动加 ' ',如果传入参数为简...
jsp中${***}的原理
Alex的博客
08-11 355
${tudent}:底层依次按照顺序调用一个域对象(request,session,cookie等)上的*.getAttribute("keyName"),寻找到request可以获得一个对象student; ${student.name}:通过获取到的student对象,调用该对象的getName()方法...
Mybatis$#
qq_39482010的博客
12-03 348
开头 这是一次代码优化过程中发现的问题,在功能优化后发现部分数据查不到出来了,问题就在于一条sql上的#$。 下图为两条sql: 在这里插入图片描述 从图上可以看出 wwlr.LabelId in(KaTeX parse error: Expected 'EOF', got '#' at position 33: …wlr.LabelId in(#̲{showLabels}),其…处理的方式是...
一文解惑mybatis中的#{}${}
一个菜鸡的博客
07-19 6157
{}先编译sql语句,再给占位符传值,底层是PreparedStatement实现。可以防止sql注入,比较常用。${}先进行sql语句拼接,然后再编译sql语句,底层是Statement实现。存在sql注入现象。只有在需要进行sql语句关键字拼接的情况下才会用到。
请说说MyBatis的工作原理#{}${}的区别Mybatis如何执行批量操作?
weixin_44837153的博客
03-05 765
基于SQL语句编程,相当灵活,不会对应用程序或者数据库的现有设计造成任何影响,SQL 写在XML里,解除sql程序代码的耦合,便于统一管理;Mybatis在处理时,是原值传入,就是把 {}时,是原值传入,就是把时,是原值传入,就是 把{}替换成变量的值,相当于JDBC中的Statement编译。是 mapper 级别的缓存,对于 mapper 级别的缓存不同的 sqlsession 是可以共享的。输入参数映射:输入参数类型可以是 Map、List 等集合类型,也可以是基本数据类型 POJO 类型。
mybatis原理
yjz_sdau的博客
04-05 680
一.MyBatis简介MyBatis就是一个持久层的框架,它让程序员只关注sql本身,而不需要关注连接的创建,statement的创建,MyBatis将输入参数,输出结果进行映射二.MyBatis原理(执行流程)三.MyBatis操作流程 1.最基本的查询从上面原理可以看出,首先我们要写配置文件SqlMapConfig.xml文件[html] view plain copy&lt;?xml ve...
Mybatis #$区别原理
_江屿_
01-31 305
Mybatis #$区别原理
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

技术砖家--Felix

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值