MyBatis中#{}和${}的区别详解

在Java后端开发中使用MyBatis时，#{}和${}虽都用于动态参数注入，但本质截然不同：#{}是安全的预编译占位符，通过PreparedStatement防止SQL注入，自动处理类型与引号，应作为首选；而${}是危险的原始字符串替换，绕过预编译机制，仅适用于表名、排序字段等极少数无法参数化的场景，且必须配合严格校验或白名单控制——理解这一区别，是写出健壮、安全SQL代码的关键一步。

在Java后端开发中使用MyBatis时，#{} 和 ${} 都用于在SQL语句中插入动态参数，但它们的处理方式和安全性有本质区别。

#{}：预编译占位符（安全）

MyBatis 会将 #{} 解析为预编译的 PreparedStatement 参数占位符（即 ?），然后通过 set 方法设置实际值。这种方式能有效防止 SQL 注入。

特点：

• 参数会被自动加上引号（如果是字符串类型）
• 支持类型处理器，能处理各种数据类型（如 Integer、String、Date 等）
• 底层使用 PreparedStatement，性能更好，更安全

<select id="getUser" resultType="User">
  SELECT * FROM user WHERE name = #{userName}
</select>

如果传入 userName = "zhangsan"，最终执行的 SQL 是：

SELECT * FROM user WHERE name = ?

参数通过 setString(1, "zhangsan") 设置，不会拼接进 SQL 字符串。

${}：直接字符串替换（危险）

MyBatis 会把 ${} 中的内容直接替换成原始字符串，不做任何转义或预处理。相当于字符串拼接，容易导致 SQL 注入。

适用场景：

• 动态表名
• 动态列名
• ORDER BY 后面的字段名
• 需要手动拼接的复杂 SQL 片段

<select id="getUserByTable" resultType="User">
  SELECT * FROM ${tableName} WHERE id = #{id}
</select>

如果 tableName = "user"，id = 1，则生成：

SELECT * FROM user WHERE id = ?

注意：表名部分是直接替换的，没有引号包裹，也不能被预编译保护。

关键区别总结

• #{} 是参数化查询，${} 是字符串拼接
• #{} 安全，推荐优先使用；${} 不安全，需谨慎使用
• 当需要动态表名、排序字段等无法预编译的场景，才考虑 ${}
• 使用 ${} 时必须对输入严格校验或白名单控制，避免注入风险

基本上就这些。日常开发中，能用 #{} 就不用 ${}，除非确实需要动态 SQL 结构。不复杂但容易忽略的是：很多人误以为 ${} 只是“不加引号”，其实它完全跳过了预编译机制，这才是危险根源。

好了，本文到此结束，带大家了解了《MyBatis中#{}和${}的区别详解》，希望本文对你有所帮助！关注golang学习网公众号，给大家分享更多文章知识！