MyBatis中 #{} 和 ${} 的区别介绍_F11 - 专业站长和开发者的学习网站

在MyBatis中，#{}和${}是两种常见的占位符，它们的作用和使用场景有所不同。理解它们的区别对于正确使用MyBatis非常重要。

在Mybatis面试中常涉及到关于#{}和${}的区别

1、#{}是预编译处理，$ {}是字符串替换。

2、MyBatis在处理#{}时，会将SQL中的#{}替换为?号，使用PreparedStatement的set方法来赋值；MyBatis在处理 $ { } 时，就是把 ${ } 替换成变量的值。

3、使用 #{} 可以有效的防止SQL注入，提高系统安全性。

1. #{} 和 ${} 的基本区别

作用：#{}用于将传入的参数安全地绑定到SQL语句中，它会自动使用PreparedStatement的?占位符机制，并且MyBatis会对传入的参数进行预处理（例如防止SQL注入）。

参数替换：在生成SQL语句时，#{}会被替换为一个?，然后由JDBC驱动程序将参数值绑定到这个?占位符上。

使用场景：通常用于传递用户输入的参数，如查询条件、插入或更新的数据等。

示例：

SELECT * FROM users WHERE id = #{id}

</select>

如果传入的id为1，MyBatis生成的SQL类似于：SELECT * FROM users WHERE id = ?，然后通过PreparedStatement将?替换为1。

作用：${}用于直接将传入的参数值替换到SQL语句中，它不会进行预处理，因此直接将参数值插入到SQL语句中。这意味着${}会将参数视为SQL的一部分，可能会导致SQL注入风险。

参数替换：在生成SQL语句时，${}会直接将传入的值替换到SQL语句中，而不会使用?占位符。

使用场景：通常用于动态生成SQL片段，比如排序字段名、表名、列名等不直接来自用户输入的参数。

示例：

SELECT * FROM users WHERE ${columnName} = #{value}

</select>

如果传入的columnName为username，value为John，MyBatis生成的SQL类似于：SELECT * FROM users WHERE username = ?，然后通过PreparedStatement将?替换为John。

SQL注入防护：由于#{}会使用PreparedStatement的参数绑定机制，因此可以有效防止SQL注入攻击。而${}直接将参数值拼接到SQL中，可能导致SQL注入，因此应慎重使用。
动态SQL生成：${}更适合用于生成动态的SQL片段，比如动态表名、列名等。但要确保传入的值是可信任的，或者通过其他手段确保安全。