【知识总结】最近遇到Mybatis中#和$的细节和应用

博主： Fivk
发布时间：2023 年 11 月 21 日
681 次浏览
2018字数
分类：知识总结

在MyBatis中，`#`（井号）和`$`（美元符号）是两种常用的占位符语法。

1. `#` 占位符：

- `#` 是预编译的占位符。
   - 通过使用`#`，MyBatis会将传入的参数值自动进行替换，并且会对参数进行安全处理，防止SQL注入攻击。
   - 在SQL语句中，`#`被替换成一个问号`?`，并且对应的参数会作为预编译语句的参数传递给数据库。
   - 示例：`SELECT * FROM table WHERE column = #{value}`。
2. `$` 占位符：

- `$` 是字符串拼接的占位符。
   - 通过使用`$`，MyBatis会将传入的参数值直接拼接到SQL语句中，不进行预编译处理。
   - `$` 主要用于一些特殊需求，例如动态表名、动态排序等。
   - 使用`$`时需要注意潜在的SQL注入风险，因为参数值直接拼接到SQL语句中可能导致安全问题。
   - 示例：`SELECT * FROM ${tableName}`。

总结起来，`#`占位符是预编译的安全占位符，而`$`占位符是字符串拼接的非安全占位符。在编写SQL语句时，推荐使用`#`占位符，以提高安全性和避免潜在的SQL注入问题。只有在特殊情况下，或者对于已经过严格验证的参数值，才应该使用`$`占位符。

对于动态表名和动态排序等情况，`#`占位符无法直接使用。因为`#`占位符是用作预编译的安全占位符，在SQL语句中不能替换表名、列名或者排序条件等动态部分。

如果需要在动态表名、动态列名或者动态排序等情况下使用占位符，可以考虑使用`$`占位符。使用`$`占位符时，要注意潜在的SQL注入风险，并确保传入的参数值经过严格验证和处理，以防止安全问题。

以下是使用`$`占位符实现动态表名和动态排序的示例：

1. 动态表名：

```
   SELECT * FROM ${dynamicTableName}
   ```
2. 动态排序：

```
   SELECT * FROM table ORDER BY ${dynamicColumnName} ASC
   ```

请注意，在使用`$`占位符时，应尽量避免直接将用户输入拼接到SQL语句中，而是使用参数化查询或其他安全机制来处理用户输入，以减少潜在的安全风险。

## 我遇到的问题

我们在mapper层，一般传递多个id是这样传递的

```java
List<User> getUser(List<String> ids);
```

传递的是一个字符串数组，我们在mybatis中是使用foreach和#进行查询

```xml
<select id="getUser" resultType="cn.fivk.entity">
    select from tb_user where id
    in
    <foreach collection="ids" item="id" separator="," open="(" close=")">
        #{id}
    </foreach>
</select>
```

但是我遇到了这样的参数传入方式

```java
List<User> getUser(String cid)
```

其中cid的值是`1,2,3,4....`

这样的形式

那么sql语句就变成了

```xml
<select id="getUser" resultType="cn.fivk.entity">
    select from tb_user where id in ($cid);
</select>
```

> 这里cid只能用$而不能用#

当然也可以使用`spilt`进行切分使用`foreach`再用`#`

```xml
<select id="getUser" resultType="cn.fivk.entity">
    select * from tb_user where id in
    <foreach collection="cis.split(',')" item="id" separator="," open="(" close=")">
        #{id}
    </foreach>
</select>

```

原因是在提供的SQL语句中，如果你使用`#`占位符来代替`${cids}`，将会导致语法错误。这是因为在MyBatis中，`#`占位符是用于预编译参数，会将传入的参数值作为参数传递给数据库。

当使用`#cids`时，MyBatis会将其转换为一个问号（`?`）占位符，并将传入的参数值以安全的方式绑定到预编译语句中。然而，在`IN`子句中，无法直接将一个列表作为参数传递给数据库，因此这样的语法不被支持。

相反，使用`$`占位符允许在SQL语句中直接拼接传递的参数值，而不进行预编译处理。这意味着在使用`$cids`时，MyBatis不会对参数进行特殊处理，而是直接将`${cids}`的值拼接到SQL语句中。

虽然使用`$`占位符可以实现动态拼接参数，但也带来了潜在的安全风险，如SQL注入攻击。为了避免这种风险，请确保对传入的参数进行验证和过滤，以防止恶意输入。

总结起来，对于第二种情况，由于需要将`${cids}`的值直接拼接到SQL语句中，所以使用`$`占位符是更合适的选择。

最后修改：2023 年 11 月 29 日

如果觉得我的文章对你有用，请随意赞赏

【知识总结】最近遇到Mybatis中#和$的细节和应用

Fivk • 2023 年 11 月 21 日

在MyBatis中，`#`（井号）和`$`（美元符号）是两种常用的占位符语法。

1. `#` 占位符：

以下是使用`$`占位符实现动态表名和动态排序的示例：

1. 动态表名：

```
   SELECT * FROM ${dynamicTableName}
   ```
2. 动态排序：

```
   SELECT * FROM table ORDER BY ${dynamicColumnName} ASC
   ```

## 我遇到的问题

我们在mapper层，一般传递多个id是这样传递的

```java
List<User> getUser(List<String> ids);
```

传递的是一个字符串数组，我们在mybatis中是使用foreach和#进行查询

但是我遇到了这样的参数传入方式

```java
List<User> getUser(String cid)
```

其中cid的值是`1,2,3,4....`

这样的形式

那么sql语句就变成了

```xml
<select id="getUser" resultType="cn.fivk.entity">
    select from tb_user where id in ($cid);
</select>
```

> 这里cid只能用$而不能用#

当然也可以使用`spilt`进行切分使用`foreach`再用`#`

```

总结起来，对于第二种情况，由于需要将`${cids}`的值直接拼接到SQL语句中，所以使用`$`占位符是更合适的选择。

【知识总结】最近遇到Mybatis中#和$的细节和应用

【踩坑日志】SpringBoot项目启动提示This primary key of "id" is primitive !不建议如此请使用包装类 in Class:

【C】极域电子教室学生端解除控制

【开发技巧】@CrossOrigin注解解决跨域问题

这是好东西

【Fivk】文章归档

【实用技巧】CSDN、掘金、简书博客文章内容转为Markdown语法?

【踩坑日志】SpringBoot项目启动提示This primary key of "id" is primitive !不建议如此请使用包装类 in Class:

【开发技巧】SSM后端常用到的模板

【算法基础】BF算法与KMP算法

【Docker】docker启动MongoDB简单方法

【知识总结】最近遇到Mybatis中#和$的细节和应用