{}为预编译占位符,安全且防SQL注入,优先使用;${}为字符串替换,存在注入风险,仅用于动态表名等无法预编译场景。
在Java后端开发中使用MyBatis时,#{} 和 ${} 都用于在SQL语句中插入动态参数,但它们的处理方式和安全性有本质区别。
#{}:预编译占位符(安全)
MyBatis 会将 #{} 解析为预编译的 PreparedStatement 参数占位符(即 ?),然后通过 set 方法设置实际值。这种方式能有效防止 SQL 注入。
特点:
- 参数会被自动加上引号(如果是字符串类型)
- 支持类型处理器,能处理各种数据类型(如 Integer、String、Date 等)
- 底层使用 PreparedStatement,性能更好,更安全
<select id="getUser" resultType="User">
SELECT * FROM user WHERE name = #{userName}
</select>
如果传入 userName = "zhangsan",最终执行的 SQL 是:
立即学习“Java免费学习笔记(深入)”;
SELECT * FROM user WHERE name = ?
参数通过 setString(1, "zhangsan") 设置,不会拼接进 SQL 字符串。
${}:直接字符串替换(危险)
MyBatis 会把 ${} 中的内容直接替换成原始字符串,不做任何转义或预处理。相当于字符串拼接,容易导致 SQL 注入。
适用场景:
- 动态表名
- 动态列名
- ORDER BY 后面的字段名
- 需要手动拼接的复杂 SQL 片段
<select id="getUserByTable" resultType="User">
SELECT * FROM ${tableName} WHERE id = #{id}
</select>
如果 tableName = "user",id = 1,则生成:
SELECT * FROM user WHERE id = ?
注意:表名部分是直接替换的,没有引号包裹,也不能被预编译保护。
关键区别总结
- #{} 是参数化查询,${} 是字符串拼接
- #{} 安全,推荐优先使用;${} 不安全,需谨慎使用
- 当需要动态表名、排序字段等无法预编译的场景,才考虑 ${}
- 使用 ${} 时必须对输入严格校验或白名单控制,避免注入风险
基本上就这些。日常开发中,能用 #{} 就不用 ${},除非确实需要动态 SQL 结构。不复杂但容易忽略的是:很多人误以为 ${} 只是“不加引号”,其实它完全跳过了预编译机制,这才是危险根源。
