{}采用预编译处理,防止SQL注入,自动转义并加引号;2. ${}为字符串直接替换,存在安全风险,需手动校验;3. 优先使用#{},仅在动态表名等场景慎用${}。
在 MyBatis 中,#{} 和 ${} 都用于在 SQL 语句中插入动态参数,但它们的处理方式和安全性有本质区别。
#{}:预编译处理(推荐使用)
MyBatis 会将 #{} 占位符替换为 ?,然后通过 PreparedStatement 的参数设置机制来赋值。这种方式可以有效防止 SQL 注入,是更安全的选择。
- 参数会被自动加上引号(如果是字符串类型)
- 特殊字符会被转义
- 支持基本类型、对象、Map 等多种数据源取值
${}:直接字符串替换(需谨慎使用)
MyBatis 会直接把 ${} 中的内容拼接到 SQL 语句中,不做任何转义或预处理。相当于简单的字符串替换,存在 SQL 注入风险。
DaGaoPeng(大高朋网团购程序)
下载
大高朋团购系统是一套Groupon模式的开源团购程序,开发的一套网团购程序,系统采用ASP+ACCESS开发的团购程序,安装超简,功能超全面,在保留大高朋团购系统版权的前提下,允许所有用户免费使用。大高朋团购系统内置多种主流在线支付接口,所有网银用户均可无障碍支付;短信发送团购券和实物团购快递发货等。 二、为什么选择大高朋团购程序系统? 1.功能强大、细节完善 除了拥有主流团购网站功能,更特别支
- 常用于动态表名、排序字段(order by)、列名等无法使用预编译的场景
- 需要开发者自行确保传入内容的安全性
- 不会自动添加引号,需手动处理
使用建议
能用 #{} 的地方尽量不用 ${}。只有在必须动态拼接 SQL 结构(如表名、字段名)时才考虑使用 ${},并且要对输入严格校验或使用白名单机制。
基本上就这些,关键是理解预编译和字符串拼接的区别。
