当前位置：首页 > news >正文

MyBatis #{} 和 ${} 的区别

news 2025/7/2 23:09:12

前言：

#{} 和 ${} 的区别是 MyBatis 中一个常见的面试题，#{} 和 ${} 是MyBatis 中获取参数的两种方式，但我们在项目中大多数使用的都是 #{} 来获取参数，那么它们两个有什么区别呢？

区别

一. #{} 采用预编译 SQL，${} 采用即时 SQL

现在我们通过 MyBatis 框架的注解方法查询数据库

@Select("select username, `password`, age, gender, phone from userinfo where id=#{id}")
UserInfo queryById(Integer id);

得到的 MyBatis 日志如下

我们可以发现，输出的 SQL 语句中，参数并没有拼接到后面，而是用占位符？来代替了，我们将这种 SQL 称为预编译 SQL

现在我们将 #{} 换成 ${}

@Select("select username, `password`, age, gender, phone from userinfo where id=${id}")
UserInfo queryById(Integer id);

再次获取 MyBatis 日志

我们可以看到，这次输出的 SQL 语句，参数直接拼接到了后面，我们将这种 SQL 称为即时 SQL

所以 #{} 采用预编译 SQL ，${} 采用即时 SQL

预编译 SQL，即时 SQL

1.效率更高

原因：

绝⼤多数情况下,某⼀条 SQL 语句可能会被反复调⽤执⾏,或者每次执⾏的时候只有个别的值不同，如果每次都需要经过语法解析, SQL优化、SQL编译等，则效率就明显不⾏了

通过 #{} 获取参数是预编译 SQL ，会将参数位置用占位符代替，然后直接进行解析，优化，编译，编译⼀次之后会将编译后的 SQL 语句缓存起来，后⾯再次执⾏这条语句时，不会再次编译 (只是输⼊的参数不同), 省去了解析优化等过程, 以此来提⾼效率，相当于就是一个固定的模板，每次往模板里放参数

而通过 ${} 获取参数是即时 SQL ，会将参数拼接到 SQL 语句中，然后再将新构成的 SQL 语句发送给数据库进行解析，优化，编译，当传送下一个参数时，依然会执行相同的流程，所以每次传参以后构造新的 SQL 语句都会执行一遍解析，优化，编译的流程，导致效率较低

2.更安全(防⽌SQL注⼊)

原因：

SQL注⼊：是通过操作输⼊的数据来修改事先定义好的SQL语句，以达到执⾏代码对服务器进⾏攻击的⽅法。

我们上面提到通过 #{} 获取参数是预编译 SQL，相当于就是一个固定的模板，每次往模板里放参数，我们以下面的 SQL 语句为例：

select username, age, gender from userinfo where username=#{username};

上述获取参数是通过 #{} 获取，是预编译 SQL ，所以在还未传入参数的时候，SQL 语句就已经进行解析，优化，编译变成模板了，因此，无论参数输入的是什么内容，都会认为是 username 的值，在 username 这个列中查找对应的数据，因此 SQL 语句的功能不会改变，所以不会存在 SQL 注入

但我们如下所示，通过 ${} 获取参数的话，就是直接把参数的内容进行拼接产生新的 SQL 语句

select username, age, gender from userinfo where username='${username}';

假设我们传的参数为 'or 1='1 通过拼接形成的 SQL 语句为

select username, age, gender from userinfo where username=''or 1='1'

SQL 语句改为上述形式后，黑客便能获得额外的数据，这就是 SQL 注入

二. #{} 会给String类型的参数添加引号，${} 不会

接下来我们再看String类型的参数

@Select("select username, `password`, age, gender, phone from userinfo where username=#{username}")
UserInfo queryByName(String username);

得到的 MyBatis 日志如下

此时我们发送的 SQL 语句成功执行，所以 Mysql 执行的 SQL 语句为：

select username, `password`, age, gender, phone from userinfo where username=‘zhangsan’;

可见，通过 #{} 获取参数时，如果参数的类型是 String ，就会在放到 SQL 语句中时，自动添加引号

现在我们将 #{} 换成 ${}

@Select("select username, `password`, age, gender, phone from userinfo where username=${username}")
UserInfo queryByName(String username);

得到的 MyBatis 日志如下

通过日志我们可以看出，SQL 语句执行失败，因为传入的参数 “zhangsan” 拼接到 SQL 语句中没有加上引号，导致 SQL 语句的语义错误，把 “zhangsan” 认为是一个字段名

现在我们对上面的代码进行一点修改，对参数添加单引号

@Select("select username, `password`, age, gender, phone from userinfo where username='${username}'")
UserInfo queryByName(String username);

再次运行得到的 MyBatis 日志如下

此时我们的 SQL 语句就正确并成功执行了

使用建议

我们尽量使用 #{} 获取参数，如果实在需要 ${} 符号获取，就一定要注意 SQL 注入的问题

MyBatis #{} 和 ${} 的区别

前言：

区别

一. #{} 采用预编译 SQL，${} 采用即时 SQL

预编译 SQL，即时 SQL

1.效率更高

2.更安全(防⽌SQL注⼊)

二. #{} 会给String类型的参数添加引号，${} 不会

使用建议

相关文章：

MyBatis #{} 和 ${} 的区别

计算机科学速成课

基于单片机的汽车安全气囊系统故障仿真设计

JPA整合Sqlite解决Dialect报错问题，最新版Hibernate6

算法通关村第十关-青铜挑战快速排序

whisper large-v3 模型文件下载链接

Ajax 之XMLHttpRequest讲解

小程序里面循环使用ref的话获取不到

PY32F002B从压缩包到实现串口printf输出

音视频项目—基于FFmpeg和SDL的音视频播放器解析（八）

CorelDRAW2024最新版本的图形设计软件

【作业】操作系统实验一：进程和线程

Linux 环境删除Conda

uni-app（1）pages. json和tabBar

window系统vscode 编译wvp前端代码

获取虎牙直播源

Halcon (2):Halcon基础知识

测不准原理

微机原理_12

设计模式(5)-使用设计模式实现简易版springIoc

使用docker在3台服务器上搭建基于redis 6.x的一主两从三台均是哨兵模式

未来机器人的大脑：如何用神经网络模拟器实现更智能的决策？

华为云AI开发平台ModelArts

日语AI面试高效通关秘籍：专业解读与青柚面试智能助攻

【kafka】Golang实现分布式Masscan任务调度系统

Docker 运行 Kafka 带 SASL 认证教程

电脑插入多块移动硬盘后经常出现卡顿和蓝屏

大语言模型如何处理长文本？常用文本分割技术详解

第一篇：Agent2Agent (A2A) 协议——协作式人工智能的黎明

MySQL中【正则表达式】用法