揭秘 #{} 和 ${} 在 MyBatis 动态 SQL 中的微妙差异

了解 #{} 和 ${} 的本质区别

MyBatis 动态 SQL 是一种功能强大的特性，它允许开发人员以高效、灵活的方式构建动态 SQL 查询。在动态 SQL 中，#{} 和 ${} 都是用于传递参数的语法糖，但它们之间存在着微妙的差异，会影响 SQL 查询的执行方式。

#{}：类型安全和防注入

#{} 语法用于传递强类型参数。当使用 #{} 时，MyBatis 会对参数的类型进行校验。如果参数类型与映射的参数类型不符，MyBatis 将抛出异常。例如：

// 假设 User 对象具有 int 类型的 id 字段
User user = new User();
user.setId(10);

// MyBatis 动态 SQL 语句
String sql = "SELECT * FROM users WHERE id = #{id}";

在上述示例中，#{} 语法确保传递给 SQL 查询的参数是正确的类型。如果尝试传递非整数类型的值，MyBatis 将引发异常。这种类型安全特性有助于防止 SQL 注入攻击，因为恶意用户无法通过提供不匹配类型的参数来操纵 SQL 查询。

${}：类型不安全和字符串拼接

{} 语法用于传递字符串参数。当使用 {} 时，MyBatis 会将参数值视为字符串，并将其直接嵌入到 SQL 查询中。这种方法不会对参数类型进行校验，也不提供防注入保护。例如：

String username = "admin";

// MyBatis 动态 SQL 语句
String sql = "SELECT * FROM users WHERE username = '${username}'";

在上述示例中，${} 语法将 username 参数直接拼接到了 SQL 查询中，使其成为字符串的一部分。这可能会导致 SQL 注入漏洞，因为恶意用户可以提供包含恶意 SQL 片段的 username 值，从而操纵查询。

最佳实践：根据场景选择正确的语法

在选择使用 #{} 还是 ${} 时，考虑以下最佳实践：

• 使用 #{} 进行类型安全和防注入： 当需要传递强类型参数并防止 SQL 注入时，请使用 #{} 语法。
• **使用 {} 进行字符串拼接：** 当需要传递字符串参数并无需类型安全或防注入时，请使用 {} 语法。例如，在构建动态 ORDER BY 子句时，可以使用 ${} 语法。

结论

#{} 和 {} 是 MyBatis 动态 SQL 中用于传递参数的两种不同语法。#{} 提供类型安全和防注入保护，而 {} 允许字符串拼接。通过理解这两种语法的差异，开发人员可以编写健壮、安全的 MyBatis 动态 SQL 查询。