SQL中，# 和 $ 用于不同的占位符语法

北极糊的狐

已于 2025-03-05 14:00:24 修改

阅读量650

点赞数 3

分类专栏：资料技巧代码记录文章标签： java 开发语言

于 2025-01-03 10:26:55 首次发布

本文链接：https://blog.csdn.net/SSHLY3/article/details/144903446

版权

资料技巧同时被 2 个专栏收录

50 篇文章

订阅专栏

代码记录

29 篇文章

订阅专栏

记住这两个用法，在 MyBatis 的 SQL 映射文件（如 .xml 文件）中，# 和 $ 用于不同的占位符语法，它们有以下区别：

#{} 占位符：
预编译处理：#{} 中的内容会被视为一个 JDBC 预编译语句的参数。MyBatis 会将其替换为 ?，并使用 PreparedStatement 来设置参数值。
防止 SQL 注入：由于使用了预编译语句，可以有效防止 SQL 注入攻击。
类型安全：MyBatis 会根据 Java 类型自动处理数据类型的转换。
示例：

 <select id="selectIce" parameterType="int" resultType="hashmap">
      SELECT * FROM i_icv WHERE id = #{iceId}
 </select>

${} 占位符：
直接替换：${} 中的内容会被直接替换为变量的值，不会进行预编译处理。这相当于将变量值直接拼接到 SQL 字符串中。
存在 SQL 注入风险：由于是直接替换，如果输入未经严格校验，可能会导致 SQL 注入攻击。
灵活性：适用于一些动态 SQL 场景，例如表名或列名的动态替换。
示例：

<select id="selectUsersByTableName" resultType="hashmap">
      SELECT * FROM ${tableName}
</select>

关注博主即可阅读全文

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

北极糊的狐

关注关注

3
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

新人一看就懂： #{} 和 ${} 的区别？

CYK_byte的博客

03-01

1万+

1、#{} 是预编译处理，${} 是直接替换；2、${} 存在SQL注入的问题，而 #{} 不存在；Ps：这也是面试主要考察的部分~

MyBatis的SQL映射文件中，`#`和`$`符号的区别

最新发布

weixin_42551921的博客

04-30

396

在MyBatis的SQL映射文件中，和符号用于处理SQL语句中的参数替换，但它们的工作方式和使用场景有所不同。#{}

参与评论您还未登录，请先登录后发表或查看评论

sql中#和$的区别

qq_40045795的博客

06-19

1552

sql中#和$的区别区别：（1）#将传入的数据都当成一个字符串，会对自动传入的数据加一个双引号。如：order by #user_id#，如果传入的值是id，则解析成的sql为order by “id”。（2）#方式在很大程度上能够防止sql注入。（3）$将传入的数据直接显示生成在sql中。如：order by useriduser_iduserid，如果传入的值是id，则解析成的sql...

SQL中# 与$ 的区别

weixin_30647065的博客

06-01

738

区别：（1）#将传入的数据都当成一个字符串，会对自动传入的数据加一个双引号。如：order by #user_id#，如果传入的值是id，则解析成的sql为order by "id"。（2）$将传入的数据直接显示生成在sql中。如：order by $user_id$，如果传入的值是id，则解析成的sql为order by id。（3）#方式在很大程度上能够防止sql注入。 ...

sql语句中使用#{}与${}的区别

m0_64823170的博客

02-28

1479

比如一个登录表单，攻击者在用户名字段输入 admin' --，如果后端SQL语句是。这里 -- 后面的内容被注释掉，因此SQL语句实际上忽略了密码检查。则实际执行的SQL语句变成了。

sql #和$的区别

张铎

06-13

3826

select id,name, email,age from student where id=#{studentId} # 的结果： select id,name, email,age from student where id=? select id,name, email,age from student where id=${studentId} $ 的结果：select id,name, email,age from student where id=1001 Str..

SQL中#与$的区别

weixin_47918681的博客

09-23

3686

一、在这里用到了#{},使用#时： 1、用来传入参数，sql在解析的时候会加上” “,当成字符串来解析，如这里 role_id = “roleid”; 2、#{}能够很大程度上防止sql注入; 延伸： 1、用{roleId,jdbcType=INTEGER},那么sql在解析的时候值为roleId = roleId，执行时会报错; 2、${}方式无法防止sql注入; 3、$一般用入传入数据库对象，比如数据库表名; 4、能用#{}时尽量用#{}; 注意： mybaties排序时使用order by 动态参

浅谈mybatis中的#和$的区别以及防止sql注入的方法

09-01

在MyBatis中，`#`和`$`在动态SQL中的使用有着明显的区别，它们在处理传入数据的方式上有所不同，同时也与SQL注入的安全问题密切相关。了解这些区别对于编写安全且高效的MyBatis映射文件至关重要。 1. **# 的使用**...

mybatis中#和$的区别

06-07

在MyBatis中，#和$都是用于替换SQL语句中的占位符的符号，但它们的处理方式不同。 #号表示占位符，通过预编译的方式将传入的参数值进行安全的替换，防止SQL注入攻击，同时将参数值转换为对应的JDBC类型。例如： ``...

详解mybatis #{}和${}的区别、传参、基本语法

08-18

在MyBatis中，#{}和${}是两个非常重要的符号，它们用于参数传递和SQL语句的构建。本文将详细介绍MyBatis中#{}和${}的区别、传参、基本语法。 #{}和${}的区别首先，需要清楚一点，动态SQL是MyBatis的一个强大特性...

mybatis里#和$的区别

06-10

在 MyBatis 中，`#` 和 `$` 都是用于 SQL 语句中的占位符号，但它们的使用方式和作用是不同的。 `#` 占位符的作用是防止 SQL 注入，它会将传入的参数值安全地替换到 SQL 语句中执行，而不需要开发者手动拼接 SQL ...

Mybatis里的 # 和 $ 的区别？

04-02

在 MyBatis 框架中，`#{}` 和 `${}` 是两种常用的占位符，用于实现 SQL 动态参数化。然而，它们的工作机制和适用场景存在显著差异。 #### 2. `#{}` 占位符的特点 `#{}` 使用预编译的方式处理 SQL 参数，能够有效...

mybatis 中#与$的区别

热门推荐

10-09

7万+

MyBatis/Ibatis中#和$的区别 1. #将传入的数据都当成一个字符串，会对自动传入的数据加一个双引号。如：order by #user_id#，如果传入的值是111,那么解析成sql时的值为order by "111", 如果传入的值是id，则解析成的sql为order by "id". 2. $将传入的数据直接显示生成在sql中。如：order by $us

sql 中 ${} 和 #{}的区别

qq_34266804的博客

03-01

712

在sql中对于传入参数有两种写法，刚开始学的时候总是不知道是什么原因，故此写下此笔记作为解释： $将传入的数据直接显示生成在sql中，那么我们使用 ${}的时候 select * from user where name = ${name}; ${}在动态解析的时候，会将我们传入的参数当做String字符串填充到我们的语句中，就会变成下面的语句 select * from u...

sql中 # 和 $ 的区别

u013232219的博客

02-20

2068

三：sql中 # 和 $ 的区别： #可以防止sql注入 #是占位符，在DBMS才进行替换，在预编译时使用?占位，能防止sql注入； deletefromuserwherename = ?; 而传入的参数将会经过PreparedStatement方法的强制类型检查和安全检查等处理，最后作为一个合法的字符串传入。在#{}预...

# 和 $ 的区别

薛定谔的猫的博客

07-25

2555

预编译处理：Mybatis在处理#{}时候，会将SQL中的#{}转换为？，使⽤ PreparedStatement 的 set ⽅法来赋值。直接替换：是MyBatis 在处理 ${} 时，就是把 ${} 替换成变量的值。

#和$的区别

C18298182575的博客

07-13

9830

MyBatis：#和$的区别一、结论　　#{}：占位符号，好处防止sql注入　　${}：sql拼接符号二、具体分析动态 SQL 是 mybatis 的强大特性之一，也是它优于其他 ORM 框架的一个重要原因。mybatis 在对 sql 语句进行预编译之前，会对 sql 进行动态解析，解析为一个 BoundSql 对象，也是在此处对动态 SQL 进行处理的。在动态 SQL 解析阶段， #{ } 和 ${ } 会有不同的表现。 #{ }：解析为一个 JDBC 预编译语句（prepa

#{}和${}

努力赚钱就可以住更好的养老院

07-24

1万+

#{}:表示一个占位符号，通过#{}可以实现preparedStatement向占位符中设置值，自动进行java类型和jdbc类型转换，#{}可以有效防止sql注入。 #{}可以接收简单类型值或pojo属性值。如果parameterType传输单个简单类型值，#{}括号中可以是value或其它名称。 “%”#{name}”%” ${}:表示拼接sql串，通过${}可以将parameterTy...