后端面试每日一题 mybatis中#与$的区别

MyBatis中使用parameterType向SQL语句传参，parameterType支持的类型可以是基本类型int,String,HashMap和java自定义类型。在SQL中引用这些参数的时候，可以使用两种方式：#{parameterName}${parameterName}首先，我们说一下这两种引用参数时的区别：使用 #{parameterName}引用参数的时候，预编译参数，例如传入参

lakernote

335人浏览 · 2021-05-18 16:15:16

lakernote · 2021-05-18 16:15:16 发布

MyBatis中使用parameterType向SQL语句传参，parameterType支持的类型可以是基本类型int,String,HashMap和java自定义类型。

在SQL中引用这些参数的时候，可以使用两种方式：

#{parameterName}
${parameterName} - $可理解为占位符

首先，我们说一下这两种引用参数时的区别：

使用 #{parameterName}引用参数的时候，会预编译参数，例如传入参数是“zhangsan”，那么在下面SQL中：

 <select id="selectUserByName" resultType="user">
    select * from user where name = #{name}
 </select>

使用的时候就会转换为：

select * from user where name = 'zhangsan'

同时使用${parameterName}的时候在下面SQL中

 <select id="selectUserByName" resultType="user">
    select * from user where name = ${name}
 </select>

就会直接转换为：

select * from user where name = zhangsan

简单说#{}是经过预编译的,是安全的。

而${}是未经过预编译的,仅仅是取变量的值,是非安全的,存在SQL注入。

#{} 这种取值是编译好SQL语句再取值

${} 这种是取值以后再去编译SQL语句,

下面我们用一个实际的例子看看分别使用和是否可以防止SQL注入。

首先是使用#{}：

 <select id="selectUserByName" resultType="user">
    select * from user where name = #{name}
 </select>

传参：

 @Test
    public void selectUserByName(){
        SqlSession sqlSession = MybatisUtil.getSqlSession();
        UserMapper userMapper = sqlSession.getMapper(UserMapper.class);
        String name = "zhangsan or password=111111";
        List<User> users =  userMapper.selectUserByName(name);
        for (User user:users) {
            System.out.println(user);
        }
        sqlSession.close();
    }

结果如下：

现在是使用${}：

 <select id="selectUserByName" resultType="user">
    select * from user where name = ${name}
 </select>

传参：

    @Test
    public void selectUserByName(){
        SqlSession sqlSession = MybatisUtil.getSqlSession();
        UserMapper userMapper = sqlSession.getMapper(UserMapper.class);
        String name = "'zhangsan' or password='111111'";
        List<User> users =  userMapper.selectUserByName(name);
        for (User user:users) {
            System.out.println(user);
        }
        sqlSession.close();
    }

结果如下：

很明显，使用${}将参数拼接后在编译成SQL语句，不能防止SQL注入，查询出了有关password=111111的额外信息，这是很危险的。

Mybatis中的#{}用于传递查询的参数，用于从dao层传递一个string参数过来(也可以是其他参数)，select * from 表名 order by age=#{age}

Mybatis会把这个参数转换成一个字符串。select * from 表名 order by age=“age” 相当于jdbc中的预编译，安全。

而${}一般用于order by的后面，Mybatis不会对这个参数进行任何的处理，直接生成了sql语句。例：传入一个年龄age的参数，select * from 表名 order by ${age}

Mybatis生成的语句为 select * from 表名 order by age Mybatis不会对$传递的参数做任何处理，相当于jdbc中的另外一种编译方式。

总结：一般我们使用#{}，不使用${}

原因：

会引起sql注入，${}会直接参与sql编译。会影响sql语句的预编译。

引自：https://www.cnblogs.com/PoetryAndYou/p/11622334.html

魔乐社区

魔乐社区（Modelers.cn) 是一个中立、公益的人工智能社区，提供人工智能工具、模型、数据的托管、展示与应用协同服务，为人工智能开发及爱好者搭建开放的学习交流平台。社区通过理事会方式运作，由全产业链共同建设、共同运营、共同享有，推动国产AI生态繁荣发展。

更多推荐

Pont - 搭建前后端之桥：高效、灵活的接口管理工具

Pont 是一款强大的数据服务层解决方案，它能够帮助开发者快速搭建前后端之间的桥梁，实现接口的高效管理和代码自动生成。无论是新手还是有经验的开发者，都能通过 Pont 轻松处理接口文档、生成类型安全的 API 代码，从而显著提升开发效率。[![Pont 工具标志](https://raw.gitcode.com/gh_mirrors/po/pont/raw/3f1b7d4bbba3fd2dda

魔乐社区

如何快速上手 hvac：HashiCorp Vault Python 客户端零基础入门指南

**hvac** 是 HashiCorp Vault 的 Python 3.X 客户端库，专为开发者提供简单高效的 Vault 交互方式。无论你是需要管理密钥、配置身份验证，还是实现安全的秘密数据存储，hvac 都能帮助你轻松搞定 Vault 的各项操作。本文将带你零基础快速入门，从安装到基础操作，让你在几分钟内即可上手使用这个强大的工具。[![hvac 客户端 Logo](https://r

魔乐社区

提升Angular2-HN性能的7个实用技巧：让新闻加载速度飞起来

Angular2-HN是一款基于Angular构建的Progressive Hacker News客户端，专为追求高效新闻浏览体验的用户设计。本文将分享7个实用技巧，帮助你优化Angular2-HN的性能，让新闻加载速度显著提升，带来更流畅的阅读体验。## 1. 启用Service Worker缓存关键资源Service Worker是提升Angular应用性能的强大工具，它可以在后台缓存