MyBatis中#{}与${}区别详解

对于一个文章开发者来说，牢固扎实的基础是十分重要的，golang学习网就来带大家一点点的掌握基础知识点。今天本篇文章带大家了解《MyBatis中#{}和${}的区别解析》，主要介绍了，希望对大家的知识积累有所帮助，快点收藏起来吧，否则需要时就找不到了！

{}为预编译占位符，安全且防SQL注入，优先使用；${}为字符串替换，存在注入风险，仅用于动态表名等无法预编译场景。

在Java后端开发中使用MyBatis时，#{} 和 ${} 都用于在SQL语句中插入动态参数，但它们的处理方式和安全性有本质区别。

#{}：预编译占位符（安全）

MyBatis 会将 #{} 解析为预编译的 PreparedStatement 参数占位符（即 ?），然后通过 set 方法设置实际值。这种方式能有效防止 SQL 注入。

特点：

• 参数会被自动加上引号（如果是字符串类型）
• 支持类型处理器，能处理各种数据类型（如 Integer、String、Date 等）
• 底层使用 PreparedStatement，性能更好，更安全

<select id="getUser" resultType="User">
  SELECT * FROM user WHERE name = #{userName}
</select>

如果传入 userName = "zhangsan"，最终执行的 SQL 是：

SELECT * FROM user WHERE name = ?

参数通过 setString(1, "zhangsan") 设置，不会拼接进 SQL 字符串。

${}：直接字符串替换（危险）

MyBatis 会把 ${} 中的内容直接替换成原始字符串，不做任何转义或预处理。相当于字符串拼接，容易导致 SQL 注入。

适用场景：

• 动态表名
• 动态列名
• ORDER BY 后面的字段名
• 需要手动拼接的复杂 SQL 片段

<select id="getUserByTable" resultType="User">
  SELECT * FROM ${tableName} WHERE id = #{id}
</select>

如果 tableName = "user"，id = 1，则生成：

SELECT * FROM user WHERE id = ?

注意：表名部分是直接替换的，没有引号包裹，也不能被预编译保护。

关键区别总结

• #{} 是参数化查询，${} 是字符串拼接
• #{} 安全，推荐优先使用；${} 不安全，需谨慎使用
• 当需要动态表名、排序字段等无法预编译的场景，才考虑 ${}
• 使用 ${} 时必须对输入严格校验或白名单控制，避免注入风险

基本上就这些。日常开发中，能用 #{} 就不用 ${}，除非确实需要动态 SQL 结构。不复杂但容易忽略的是：很多人误以为 ${} 只是“不加引号”，其实它完全跳过了预编译机制，这才是危险根源。

终于介绍完啦！小伙伴们，这篇关于《MyBatis中#{}与${}区别详解》的介绍应该让你收获多多了吧！欢迎大家收藏或分享给更多需要学习的朋友吧~golang学习网公众号也会发布文章相关知识，快来关注吧！