Mybatis的mapper材料中#和$的区别

MyBatis 中 mapper 文件里 #{} 与 ${} 的核心区别

MyBatis 的 mapper 文件中，#{}和${}是两种参数占位符，核心差异在于参数解析方式、SQL 注入风险、适用场景，以下从底层原理、使用场景、示例等维度详细解析：

一、核心区别对比表

特性	#{}	${}
解析方式	预编译处理：MyBatis 将#{}替换为?，通过 PreparedStatement 设置参数（setXxx()）	字符串替换：直接将参数拼接到 SQL 语句中，无预编译
SQL 注入风险	安全（参数会被自动转义）	危险（直接拼接，易触发 SQL 注入）
参数类型处理	自动识别参数类型，自动加引号（如字符串参数拼接后为'value'）	不处理类型，直接拼接（字符串需手动加引号）
适用场景	常规参数传递（列值、条件值）	动态表名、列名、排序字段等 SQL 语法部分
性能	预编译可复用执行计划，性能高	每次拼接生成新 SQL，性能低

二、底层原理与示例

1. #{}：预编译占位符（推荐）

原理

MyBatis 解析#{}时，会将其替换为 JDBC 的?占位符，生成PreparedStatement，并通过setInt()/setString()等方法设置参数，参数会被自动转义（如特殊字符'会被处理为\'），从根本上避免 SQL 注入。

示例

Mapper 文件：

    SELECT id, name, age FROM user WHERE id = #{id}

实际执行的 SQL（参数 id=1）：

-- MyBatis生成PreparedStatement，参数通过setInt(1, 1)设置
SELECT id, name, age FROM user WHERE id = ?

字符串参数示例（name="张三"）：

    SELECT id, name, age FROM user WHERE name = #{name}

实际执行：参数会被自动加引号，等价于WHERE name = '张三'，若参数含特殊字符（如张三' OR 1=1），会被转义为'张三\' OR 1=1'，避免注入。

2. ${}：字符串拼接（慎用）

原理

MyBatis 直接将${}替换为参数的原始字符串，无任何转义处理，相当于 “硬拼接” SQL，因此存在严重的 SQL 注入风险，但可用于动态指定 SQL 语法的部分（如表名、列名）。

示例

动态表名（按年月分表）：

    SELECT id, name FROM user_${month} WHERE id = #{id}

参数 month="202512"，id=1 时，实际执行 SQL：

SELECT id, name FROM user_202512 WHERE id = ?

风险示例（SQL 注入）：若使用${}接收用户输入的排序字段：

    SELECT id, name FROM user ORDER BY ${sortField}

当用户传入sortField="id; DROP TABLE user;"时，拼接后的 SQL 为：

SELECT id, name FROM user ORDER BY id; DROP TABLE user;

直接导致表被删除，风险极高。

三、关键使用原则

1. 优先使用#{}

所有常规参数（如查询条件、插入 / 更新的列值）必须用#{}，杜绝 SQL 注入风险，同时享受预编译的性能优势。

2. 仅在必要时使用${}

仅当需要动态指定 SQL 语法元素时使用${}，且必须做严格的参数校验：

// 对${}参数做白名单校验（示例：仅允许指定的排序字段）
public List getUserList(String sortField) {
    // 白名单
    List allowedFields = Arrays.asList("id", "name", "age");
    if (!allowedFields.contains(sortField)) {
        sortField = "id"; // 默认值，防止注入
    }
    return userMapper.getUserList(sortField);
}

3. 特殊场景的兼容处理

模糊查询：#{}可配合CONCAT使用（推荐），而非${}：

SELECT * FROM user WHERE name LIKE CONCAT('%', #{name}, '%')

SELECT * FROM user WHERE name LIKE '%${name}%'

批量插入：MyBatis 的foreach标签中，集合元素用#{}：

    INSERT INTO user (name, age) VALUES
    
        (#{item.name}, #{item.age})
    

四、总结

场景	推荐用法	注意事项
传递列值 / 条件值	#{}	自动转义，无注入风险
动态表名 / 列名 / 排序	${} + 白名单	必须校验参数，限制取值范围
模糊查询	#{} + CONCAT	避免直接拼接%${}%

核心记住：#{}是 “安全的预编译”，${}是 “危险的字符串拼接”，开发中除非明确需要动态拼接 SQL 语法，否则一律使用#{}。