sql 中 ${} 和 #{}的区别

最新推荐文章于 2026-03-31 15:09:59 发布
原创 最新推荐文章于 2026-03-31 15:09:59 发布 · 1.1w 阅读 · 9 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
标签
#mybatis 中 和 #的区别
本文详细介绍了在SQL查询中使用${}

$将传入的数据直接显示生成在sql中,那么我们使用 ${}的时候

select * from user where name = ${name}; 
${}在动态解析的时候,会将我们传入的参数当做String字符串填充到我们的语句中,就会变成下面的语句
select * from user where name = "dato"; 
预编译之前的 SQL 语句已经不包含变量了,完全已经是常量数据了。相当于我们普通没有变量的sql了。



#{} 在动态解析的时候, 会解析成一个参数标记符。就是解析之后的语句是:

select * from user where name = #{name}; 

select * from user where name = ?; 
${}接受从用户输出的内容并提供给语句中不变的字符串,这样做是不安全的。这会导致潜在的SQL注入攻击
${}接收输入参数,类型可以是简单类型,pojo、hashmap。
如果接收简单类型,${}中只能写成value。#{}中可以写成value或其它名称


一般模糊查询的时候使用$,   dct_name like '%${dctName}%'




















                

        

    





  



    

      

        

            

              
                
                  水墨之白
                
              
            

            

                关注
              
            

        

        

          
      

      










              

                

              

            
              



	

		

			

				
					
新人一看就懂: #{}  ${} 的区别

				
			

			

				

					CYK_byte的博客
				

				

					03-01
					
					1万+
					
				

			

		

		

			
				
1、#{} 是预编译处理,${} 是直接替换;2、${} 存在SQL注入的问题,而 #{} 不存在;Ps:这也是面试主要考察的部分~

			
		

	



              


  
              

                


	

		

			

				
					
MyBatis#$符的区别sql注入问题,动态sql语句

				
			

			

				

					m0_73381672的博客
				

				

					02-06
					
					2127
					
				

			

		

		

			
				
#{}${}都是MyBatis提供的sql参数替换。区别是:
#{}是预编译处理,${}是字符串直接替换。
#{}可以防止SQL注入,${}存在SQL注入的风险,例如 “' or 1='1”
虽然存在SQL注入风险,但也有自己的适用场景,比如排序功能,表名,字段名等作为参数传入时。
#{}模糊查询要搭配使用mysql内置的拼接函数concat,安全性高。模糊查询虽然${}可以完成,但是存在SQL注入,不安全。

			
		

	





	

		

			

				
					
sql语句中 #{}与${}的用法

					
热门推荐

				
			

			

				

					cmjimmy的博客
				

				

					08-24
					
					2万+
					
				

			

		

		

			
				
1介绍





测试 ${}











在没有特殊要求情况下,通常我们使用#{}占位符,有些情况下必须使用${}了解即可

例如:需要动态拼接表名.





下面是模糊查询的应用#{}与${}







下面是错误的使用#{}













下面是正确的方式使用#{}模糊查询 掌握.




...

			
		

	



		

			
		



	

		

			

				
					
总结一些经验

				
			

			

				

					weixin_59015876的博客
				

				

					07-18
					
					837
					
				

			

		

		

			
				
例如,对于排序字段,可以在代码中预定义一个包含所有允许排序的字段的白名单,然后检查用户的输入是否在这个白名单中。

			
		

	





	

		

			

				
					
${}#{} 有啥区别

					
最新发布

				
			

			

				

					椰汁菠萝
				

				

					03-31
					
					426
					
				

			

		

		

			
				
本文对比了Java开发中${}#{}在SpringMyBatis中的关键区别。在Spring中,${}用于读取配置文件值,#{}支持动态表达式计算;在MyBatis中,#{}采用预编译确保安全,而${}是字符串拼接存在SQL注入风险。建议:Spring配置用${},计算用#{};MyBatis优先用#{},动态表名列名等特殊情况才用${}并做好安全校验。

			
		

	





	

		

			

				
					
sql语句中的符号】(通配符+#{}+${})

				
			

			

				

					灵活的小胖子
				

				

					08-17
					
					9910
					
				

			

		

		

			
				
背景:别人写的代码,由于数据库添加了一个is_delete(0:未删除;1:已删除)字段用来做假删除,大家都知道,如果说一条数据删除了,那么肯定是不能查出来的了,因此,我的任务就是修改由于添加一个字段而引发的灾难。

问题:

我们的sql:


select
    i.id,
    i.project_id,
    i.sets,
    i.name,
    i.length,
    i.likes,
    i.url,
    i.type,
    p.project_name
from

			
		

	





	

		

			

				
					
sql语句中使用#{}与${}的区别

				
			

			

				

					m0_64823170的博客
				

				

					02-28
					
					1680
					
				

			

		

		

			
				
比如一个登录表单,攻击者在用户名字段输入 admin' --,如果后端SQL语句是。这里 -- 后面的内容被注释掉,因此SQL语句实际上忽略了密码检查。则实际执行的SQL语句变成了。

			
		

	





	

		

			

				
					
sql语句中#{}${}的区别

				
			

			

				

					dianemax
				

				

					05-26
					
					5001
					
				

			

		

		

			
				
sql语句中#{}${}的区别

#{}

#将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号
eg:
      order by #user_id#
      如果传入的值是1,那么解析成sql时的值为order by “1”
  &nbs...

			
		

	





	

		

			

				
					
sql#$区别

				
			

			

				

					qq_40045795的博客
				

				

					06-19
					
					1680
					
				

			

		

		

			
				
sql#$区别
区别:
(1)#将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是id,则解析成的sql为order by “id”。
(2)#方式在很大程度上能够防止sql注入。
(3)$将传入的数据直接显示生成在sql中。如:order by useriduser_iduseri​d,如果传入的值是id,则解析成的sql...

			
		

	





	

		

			

				
					
#{}${} 区别sql注入

				
			

			

				

					liujianjun的专栏
				

				

					09-18
					
					864
					
				

			

		

		

			
				
#{}${} 区别sql注入
一、过程
1、动态解析:
mybatis 在对 sql 语句进行预编译之前,会对 sql 进行动态解析,解析为一个 BoundSql 对象。
#{}:解析为一个 JDBC 预编译语句(prepared statement)的参数标记符
select * from A where a = #{value};

动态解析为:
select * from A where a = ?;

这里可以看到#{}被解析为占位符?
${}:字符串的拼接
select * from A wh

			
		

	





	

		

			

				
					
SQL#$区别

				
			

			

				

					qq_46538289的博客
				

				

					10-15
					
					5042
					
				

			

		

		

			
				
转载:https://www.cnblogs.com/porotin/p/9122398.html
区别:
(1)#将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是id,则解析成的sql为order by “id”。
(2)$将传入的数据直接显示生成在sql中。如:order by useriduser_iduseri​d,如果传入的值是id,则解析成的sql为order by id。
(3)#方式在很大程度上能够防止sql注入。
(4)

			
		

	





	

		

			

				
					
MyBatis之动态SQL#$区别结果映射

				
			

			

				

					weixin_74268571的博客
				

				

					08-24
					
					4034
					
				

			

		

		

			
				
MyBatis动态SQL的概念与常用元素,三种模糊查询的方式以及#$区别Mybatis的结果映射---resultType与resultMap的区别

			
		

	





	

		

			

				
					
mysql语法之--#$符号关键字的用法(一)

				
			

			

				

					qq_31104067的博客
				

				

					12-30
					
					6491
					
				

			

		

		

			
				
一、#$sql拼接区别

      1、${param}传递的参数会被当成sql语句中的一部分,比如传递表名,字段名

           例子:(传入值为id)

                    order by ${param} 


                    则解析成的sql为:

                     order b

			
		

	





	

		

			

				
					
SQL学习五——SQL注入相关

				
			

			

				

					weixin_38719347的博客
				

				

					03-05
					
					332
					
				

			

		

		

			
				
SQL注入部分涉及到了UNION等,简单的总结一下
UNION
简单的说 UNION就是对于结构相同的结果做集合的感觉


UNION 操作符用于合并两个或多个 SELECT 语句的结果集。


请注意,UNION 内部的 SELECT 语句必须拥有相同数量的列。列也必须拥有相似的数据类型。同时,每条 SELECT 语句中的列的顺序必须相同。


SELECT column_name(s) FR...

			
		

	





	

		

			

				
					
SQL中,#  $ 用于不同的占位符语法

				
			

			

				

					SSHLY3的博客
				

				

					01-03
					
					939
					
				

			

		

		

			
				
预编译处理:#{} 中的内容会被视为一个 JDBC 预编译语句的参数。直接替换:${} 中的内容会被直接替换为变量的值,不会进行预编译处理。这相当于将变量值直接拼接到 SQL 字符串中。存在 SQL 注入风险:由于是直接替换,如果输入未经严格校验,可能会导致 SQL 注入攻击。防止 SQL 注入:由于使用了预编译语句,可以有效防止 SQL 注入攻击。类型安全:MyBatis 会根据 Java 类型自动处理数据类型的转换。灵活性:适用于一些动态 SQL 场景,例如表名或列名的动态替换。

			
		

	





	

		

			

				
					
MyBatis中,#  $ 在动态SQL语句中的区别

				
			

			

				

					t1621353644的博客
				

				

					02-23
					
					491
					
				

			

		

		

			
				
因为它更安全,能够防止 SQL 注入攻击。但在某些情况下,如果需要更高的执行效率,并且能够确保参数的安全性,也可以使用。时,应该确保参数值的安全性,以防止 SQL 注入攻击。在一般情况下,推荐使用。要特别注意的是,在使用。

			
		

	





	

		

			

				
					
pgsql的存储过程中$$ $dbvis$有什么区别

				
			

			

				

					weixin_48811255的博客
				

				

					05-15
					
					807
					
				

			

		

		

			
				
1、$$:通常用于创建函数或存储过程时,定义PL/pgSQL代码块的开始结束。这种语法要求在创建函数或存储过程时,将整个PL/pgSQL代码块包含在两个$$符号之间。这是创建函数或存储过程时最常见的用法。2、$dbvis$:是一种特殊的代码块语法,用于DBVIS(数据库可视化)工具中。它允许在代码块中使用特殊的变量引用方式,这些变量在执行期间会被替换为实际值。这种语法主要用于DBVIS工具中的动态SQL执行,不是标准的PL/pgSQL代码块定义方式。

			
		

	





	

		

			

				
					
sql语句中的两种取值方式:#{}、${}

				
			

			

				

					weixin_41901345的博客
				

				

					09-09
					
					1863
					
				

			

		

		

			
				
sql语句中的两种取值方式:#{}、${}

#{} 用于字符变量,将传入的数据以字符串处理,会对传入的数据增加一个“ ”。

${} 用于 int型 ,将传入的值直接引用显示在sql对应的语句中。






			
		

	





	

		

			

				
					
 编写SQL语句时,#{}  ${}的区别

				
			

			

				

					m0_73794536的博客
				

				

					07-27
					
					394
					
				

			

		

		

			
				
【代码】 编写SQL语句时,#{}  ${}的区别

			
		

	





	

		

			

				
					
sql 变量的使用

				
			

			

				

					weixin_42578783的博客
				

				

					09-05
					
					302
					
				

			

		

		

			
				
sql 变量的使用
https://blog.csdn.net/qq_27922171/article/details/86477544
https://www.cnblogs.com/accumulater/p/7233626.html



			
		

	



              




          





        



    





    



      

      

        
      

      





	

		评论	
	

  
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值