MyBatis中的#{}和${}有什么区别

# MyBatis中的#{}和${}有什么区别

## 引言

在MyBatis框架中，`#{}`和`${}`是两种常见的参数占位符语法，它们在SQL语句中用于动态替换参数值。虽然表面上看功能相似，但底层实现机制、安全性和适用场景存在显著差异。本文将深入解析两者的区别，并通过代码示例帮助开发者正确选择和使用。

---

## 1. 核心机制对比

### 1.1 `#{}`（预编译占位符）
- **实现原理**  
  采用预编译（PreparedStatement）机制，运行时会被替换为`?`占位符，参数值通过JDBC的set方法安全注入。

- **示例代码**  
  ```xml
  <select id="findUserById" resultType="User">
    SELECT * FROM users WHERE id = #{userId}
  </select>

实际执行SQL：

  SELECT * FROM users WHERE id = ?

1.2 ${}（字符串拼接）

• 实现原理
  直接进行字符串替换（Statement），参数值按原样拼接到SQL语句中。

• 示例代码

  <select id="findUserByName" resultType="User">
  SELECT * FROM users WHERE name = '${userName}'
  </select>
  

  若userName值为"John"，最终SQL为：

  SELECT * FROM users WHERE name = 'John'
  

2. 关键差异详解

3. 安全风险案例

SQL注入示例

<!-- 危险写法 -->
<select id="login" resultType="User">
  SELECT * FROM users 
  WHERE username = '${username}' AND password = '${password}'
</select>

攻击者输入：

username: admin' --
password: any

最终执行：

SELECT * FROM users WHERE username = 'admin' --' AND password = 'any'

安全解决方案

<!-- 正确写法 -->
<select id="login" resultType="User">
  SELECT * FROM users 
  WHERE username = #{username} AND password = #{password}
</select>

4. 适用场景指南

推荐使用#{}的情况

• 所有用户输入参数（表单数据、URL参数等）
• WHERE条件中的值
• INSERT/UPDATE语句的字段值

谨慎使用${}的场景

1. 动态表名/列名
   

   
   <select id="queryByField" resultType="map">
    SELECT * FROM ${tableName} ORDER BY ${columnName}
   </select>
   

2. SQL函数/特殊语法
   

   
   <select id="findRecent" resultType="User">
    SELECT * FROM users 
    WHERE create_time > DATE_SUB(NOW(), INTERVAL ${days} DAY)
   </select>
   

5. 进阶技巧

混合使用案例

<select id="dynamicQuery" resultType="User">
  SELECT * FROM ${tablePrefix}_users
  WHERE status = #{status}
  <if test="orderBy != null">
    ORDER BY ${orderBy}
  </if>
</select>

类型处理器扩展

通过自定义TypeHandler可增强#{}的处理能力：

@MappedTypes(JSONObject.class)
public class JsonTypeHandler extends BaseTypeHandler<JSONObject> {
  // 实现JSON与数据库字段的转换
}

6. 总结

正确理解这两种占位符的区别，能够帮助开发者在保证系统安全性的同时，灵活应对各种复杂SQL场景。 “`