深入分析mybatis中#{}和${}的区别

雷渊
524 阅读2分钟

知其然要知其所以然,探索每一个知识点背后的意义,你知道的越多,你不知道的越多,一起学习,一起进步,如果文章感觉对您有用的话,关注、收藏、点赞,有困惑的地方请评论,我们一起交流!

深入分析MyBatis中#{}${}的区别

1. 核心区别概述

特性#{}${}
处理方式预编译参数(占位符)直接文本替换(字符串拼接)
安全性防止SQL注入存在SQL注入风险
适用场景动态参数值(如WHERE条件)动态SQL片段(如表名、列名)
数据类型处理自动类型转换(如String→VARCHAR)原样替换(需手动处理类型)

2. 底层原理剖析

(1)#{}的工作流程
  1. 解析阶段
    MyBatis将#{}转换为JDBC的PreparedStatement占位符(?)。
  2. 执行阶段
    通过ps.setXxx()方法安全地设置参数值,例如: 
    // 生成的JDBC代码
PreparedStatement ps = conn.prepareStatement("SELECT * FROM user WHERE id = ?");
ps.setInt(1, 5);  // 自动类型安全处理
(2)${}的工作流程
  1. 解析阶段
    MyBatis直接替换${}为字符串内容(无占位符)。
  2. 执行阶段
    生成静态SQL语句,例如: 
    // 假设${tableName}的值为"user"
Statement stmt = conn.createStatement("SELECT * FROM user");  // 直接拼接

3. 安全性与SQL注入

  • #{}示例(安全)

    <select id="getUser" resultType="User">
    SELECT * FROM user WHERE name = #{name}
</select>
    • 输入name = "admin' OR '1'='1"时,会被转义为: 
      SELECT * FROM user WHERE name = 'admin'' OR ''1''=''1'

  • ${}示例(危险)

    <select id="getUser" resultType="User">
    SELECT * FROM user WHERE name = '${name}'
</select>
    • 输入name = "admin' OR '1'='1"时,直接拼接为: 
      SELECT * FROM user WHERE name = 'admin' OR '1'='1'  -- 返回所有数据!

4. 性能对比

维度#{}${}
SQL解析需预编译(首次稍慢)直接替换(无预编译开销)
数据库缓存可复用执行计划(高效)每次生成新SQL(无法复用)
网络传输仅传输参数(体积小)传输完整SQL(体积大)

5. 适用场景与反例

#{}的正确使用
  • 动态条件值
    <select id="findUsers" resultType="User">
    SELECT * FROM user 
    WHERE status = #{status} AND create_time > #{createTime}
</select>
${}的合理使用
  • 动态表名/列名(需手动过滤危险字符): 
    <select id="queryFromTable" resultType="map">
    SELECT * FROM ${tableName} 
    WHERE ${columnName} = #{value}  <!-- 混合使用 -->
</select>
${}的错误使用
  • 直接拼接用户输入
    <!-- 危险!可能引发SQL注入 -->
<select id="login" resultType="User">
    SELECT * FROM user 
    WHERE username = '${username}' AND password = '${password}'
</select>

6. 特殊场景处理

(1)LIKE查询
  • 安全写法(使用#{} + CONCAT): 
    <select id="searchUsers" resultType="User">
    SELECT * FROM user 
    WHERE name LIKE CONCAT('%', #{keyword}, '%')
</select>
(2)IN语句
  • 动态参数列表(结合MyBatis的foreach): 
    <select id="getUsersByIds" resultType="User">
    SELECT * FROM user 
    WHERE id IN 
    <foreach item="id" collection="ids" open="(" separator="," close=")">
        #{id}
    </foreach>
</select>

7. 最佳实践总结

  1. 默认使用#{}
    所有动态参数值必须用#{},避免SQL注入。
  2. 谨慎使用${}
    仅用于动态SQL片段(如表名、ORDER BY子句),且需手动过滤危险字符: 
    // 在Java代码中校验表名合法性
if (!isValidTableName(tableName)) {
    throw new IllegalArgumentException("Invalid table name");
}
  3. 混合使用策略
    在需要动态SQL结构时组合两者: 
    ORDER BY ${sortColumn} #{sortDirection}
avatar
文章
阅读
粉丝