MyBatis 中 #{} 并非万能:动态 SQL 实战

最新推荐文章于 2025-09-07 19:44:33 发布
最新推荐文章于 2025-09-07 19:44:33 发布
阅读量904 收藏 12
点赞数 29
CC 4.0 BY-SA版权
分类专栏: 技术干货 高频八股 文章标签: mybatis sql 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_49426115/article/details/151120422

大家好,我是钢板兽。

在MyBatis 中,#{}${} 都用于参数替换,它们的底层机制和使用场景都不同。你一定知道${}会发生SQL注入的问题,而#{} 不会,所以#{} 更安全。

但是所有参数替换的情况都可以用#{} 吗?如果你回答是的话,就大错特错了。

这篇文章将以一个动态SQL生成的例子,来讲清楚#{}${}各自的使用时机,相信你一定会有收获。

文章目录

1.#{} 和 ${}的区别

首先来看下#{}${}的区别:

  • ${} 是字符串拼接:MyBatis 会在生成最终 SQL 前将其替换为对应的字符串,直接拼接到 SQL 语句中。因此它可以出现在 SQL 的任何位置,但是 容易发生 SQL 注入,例如:

    SELECT * FROM users WHERE username='用户名' AND password='密码' OR 1=1

    由于 OR 1=1 这个条件永远为真,所以不管 用户名 和 密码 是否匹配,查询结果都会返回所有记录,从而导致登录成功‌.

  • #{} 是占位符绑定:MyBatis 会将其替换为 JDBC 的 ? 占位符,并进行参数绑定,能 有效防止 SQL 注入,是最推荐的传参方式,但也存在使用限制。

    JDBC( Java Database Connectivity)是Java官方提供的一套访问关系型数据库的标准API,MyBatis是基于JDBC封装的ORM(对象关系映射)框架。

2.#{} 的使用限制

#{}的底层机制是:首先它会被 转换为 ? 占位符,然后 MyBatis 使用 JDBC 的 PreparedStatement 对象来绑定参数,类似这样:

PreparedStatement ps = connection.prepareStatement("SELECT * FROM user WHERE id = ?");
ps.setInt(1, 123);  // 1 为 占位符编号

? 只能用于填充值类型的数据(如数字、字符串、日期等),不能用于动态替换 SQL 的结构性元素(如表名、列名、函数名或 SQL 子句),这些结构性内容必须在 SQL 字符串中提前写定,在SQL编译阶段就要确定,不能作为参数动态传入。

总之,只要是需要在编译期确定的字段,就不能使用 #{} 填充,主要有下面三个内容:

  1. 不能作为表名或者字段名

    SELECT * FROM #{table} -- 错误

  2. 不适合用于 ORDER BYGROUP BY 中的字段

    ORDER BY #{sortField} -- 错误

  3. 不适合用于SQL子句片段

    WHERE #{whereClause} -- 错误

这3个内容可以通过${}动态拼接,${} 是 MyBatis 在SQL编译前就直接字符串拼接进去的,但是为了防止SQL注入,使用${}之前要先对其进行字段白名单校验。

3.动态SQL生成

3.1 背景

下面来举一个动态SQL生成的例子来说明#{}${}各自的使用时机。

以动态报表为例,想要动态生成的SQL例子如下:

SELECT
    product_name,
    sale_date,
    SUM(sales_amount) AS sum_sales_amount,
    COUNT(order_count) AS count_order_count
FROM sales_order
WHERE
    region = '华东'
    AND sale_date BETWEEN '2024-01-01' AND '2024-03-31'
GROUP BY
    product_name,
    sale_date
  • sales_order 表中查询销售记录;
  • 筛选出“华东”地区、2024年第一季度的数据**;**
  • 按产品名(product_name)和销售时间(sale_date)进行分组;
  • 计算每组的销售总额与订单数量。

3.2 前后端数据结构设计

为了动态生成SQL查询语句,我们需要从前端接收多个查询字段、分组字段、聚合字段和筛选条件,所以可以将前端传参JSON设计为如下:

  • dimensions字段:用于 GROUP BY,决定分组方式;

  • metrics字段:用于 SELECT 中做聚合,和dimensions字段共同组成查询字段;

  • filters筛选条件:用于构造 WHERE 子句;

{
  "dimensions": ["product_name", "sale_date"],
  "metrics": [
    { "name": "sales_amount", "agg": "SUM" },
    { "name": "order_count", "agg": "COUNT" }
  ],
  "filters": [
    { "field": "region", "op": "=", "value": "华东" },
    { "field": "sale_date", "op": "between", "value": ["2024-01-01", "2024-03-31"] }
  ]
}

相应的,Java后端数据结构可以设计为:

@Data
public class ReportRequest {
    private List<String> dimensions;
    private List<Metric> metrics;
    private List<Filter> filters;

    @Data
    public static class Metric {
        private String name; // 字段名,如 sales_amount
        private String agg;  // 聚合方式,如 SUM, AVG, COUNT
    }

    @Data
    public static class Filter {
        private String field;
        private String op;    // =, >, between...
        private Object value; // 可以是字符串,也可以是数组
    }
}

3.3 Mapper接口及XML映射

Mapper接口:

@Mapper
public interface ReportMapper {

    List<Map<String, Object>> queryDynamicReport(@Param("dimensions") List<String> dimensions,
                                                 @Param("metrics") List<ReportRequest.Metric> metrics,
                                                 @Param("filters") List<ReportRequest.Filter> filters);
}

XML映射:

<select id="queryDynamicReport" resultType="map">
    SELECT
        <foreach collection="dimensions" item="dim" separator=",">
            ${dim}
        </foreach>
        <if test="metrics != null and metrics.size() > 0">
            <foreach collection="metrics" item="m" separator=",">
                ${m.agg}( ${m.name} ) AS ${m.agg}_${m.name}
            </foreach>
        </if>
    FROM sales_order
    <where>
        <foreach collection="filters" item="f">
            <if test="f.op == 'between'">
                AND ${f.field} BETWEEN #{f.value[0]} AND #{f.value[1]}
            </if>
            <if test="f.op != 'between'">
                AND ${f.field} ${f.op} #{f.value}
            </if>
        </foreach>
    </where>
    <if test="dimensions != null and dimensions.size() > 0">
        GROUP BY
        <foreach collection="dimensions" item="dim" separator=",">
            ${dim}
        </foreach>
    </if>
</select>

3.3 Controller调用及白名单校验

Controller调用:

@PostMapping("/query")
public List<Map<String, Object>> query(@RequestBody ReportRequest request) {
    validateRequest(request);
    return reportMapper.queryDynamicReport(
        request.getDimensions(),
        request.getMetrics(),
        request.getFilters()
    );
}

在参数注入前,应确保每一个用于 SQL 拼接的字段值都合法、安全,进行白名单校验。

private static final Set<String> VALID_FIELDS = Set.of(
    "product_name", "sale_date", "region", "sales_amount", "order_count"
);

private static final Set<String> VALID_AGG_FUNCS = Set.of(
    "SUM", "AVG", "COUNT", "MAX", "MIN"
);

private static final Set<String> VALID_OPERATORS = Set.of(
    "=", ">", "<", ">=", "<=", "<>", "between"
);

private void validateRequest(ReportRequest request) {
    for (String dim : request.getDimensions()) {
        if (!VALID_FIELDS.contains(dim)) {
            throw new IllegalArgumentException("非法维度字段:" + dim);
        }
    }

    for (ReportRequest.Metric metric : request.getMetrics()) {
        if (!VALID_FIELDS.contains(metric.getName()) ||
            !VALID_AGG_FUNCS.contains(metric.getAgg().toUpperCase())) {
            throw new IllegalArgumentException("非法指标字段或聚合函数:" + metric);
        }
    }

    for (ReportRequest.Filter filter : request.getFilters()) {
        if (!VALID_FIELDS.contains(filter.getField()) ||
            !VALID_OPERATORS.contains(filter.getOp().toLowerCase())) {
            throw new IllegalArgumentException("非法筛选条件:" + filter);
        }
    }
}

总之,在实际项目中,应该使用 #{} 进行数据绑定传参,仅在结构字段(如列名、函数名)等必须动态拼接时谨慎使用 ${},并对其进行字段白名单校验。

如果这篇文章对你有帮助,欢迎点赞、留言、转发!

告别手动拼接:MyBatis 动态 SQL 的终极指南
墨夶的博客
08-12 640
若name为,SQL 变成,直接泄露所有数据!<if>
Java 领域 MyBatis 动态表结构的处理
AI开发架构师
06-14 816
本文面向需要解决"表结构动态变化"问题的Java开发者,覆盖从基础概念到实战落地的全流程。无论是多租户系统的独立表设计,还是日志系统按月分表,亦或是低代码平台的自定义字段需求,你都能找到对应的解决方案。本文将按照"概念理解→原理解析→实战落地→场景扩展"的逻辑展开:先用"定制家具厂"的故事引出动态表结构;再拆解MyBatis处理动态表的三大核心能力(动态SQL、元数据管理、运行时表操作);接着通过Spring Boot实战演示表名动态替换、字段动态增删;最后总结常见问题与未来趋势。
MyBatis神技】动态SQL:告别硬编码,让SQL“活”起来!
2401_83194332的博客
04-10 1751
根据。
MyBatis ResultMap 处理复杂映射:从入门到实战,一篇搞定!
weixin_42148384的博客
07-13 1322
MyBatis 的使用中,最让人头疼的莫过于数据库字段与 Java 对象属性的复杂映射。比如字段名是下划线命名(user_name),属性却是驼峰(userName);或者一个用户对象要关联地址、订单等复杂对象;甚至需要把数据库的 JSON 字符串转成 Java 的 Map……这些场景,单靠简单的 #{} 占位符根本搞不定,这时候就得请出 MyBatis 的“映射神器”—— ResultMap。 本文将用实战案例+通俗讲解,带你彻底掌握 ResultMap 处理复杂映射的核心技巧!
MyBatis遇上SQL注入:Java程序员的防弹少年团养成记
程序猿小白菜
03-02 405
记住三大护法口诀:预编译是亲爹,${}是魔鬼Wrapper保平安,Plus更无敌权限最小化,监控不能停当你在MyBatis的XML里写下每一个#{}时,就是在给黑客的键盘上浇混凝土。现在就去检查你的项目,别让明天的晨会成为"删库事件复盘会"!程序员与黑客的斗舞时刻你的MyBatis项目踩过哪些注入坑?欢迎在评论区Battle你的防御绝招!🔥🚀👨💻。
9、mybatis动态sql的使用
chaizepeng的博客
08-23 434
上一篇 写到了输入映射和输出映射,结束于自定义映射resultMap的更多用法,这一篇主要针对resultMap 的一些高级用法进行叙述
MyBatis Plus SQL性能分析:从日志到优化的全流程实战指南
weixin_42148384的博客
07-19 1136
在Java开发的江湖里,MyBatis Plus(MP)早已是“效率利器”——它用极简的API封装了CRUD操作,让开发者从重复的SQL编写中解放出来。但随着项目数据量从“万级”跃升至“十万级”“百万级”,一个尴尬的现实逐渐浮现:曾经跑得飞快的MP应用,开始频繁出现接口超时、数据库压力骤增的情况。问题根源往往不在MP本身,而在那些“隐形的SQL”——它们可能因索引缺失、查询冗余或分页逻辑欠妥,在数据洪流中沦为性能瓶颈。今天,我们就来聊聊如何用MP的特性,精准定位并解决这些SQL性能问题。
Mybatis万能的map
junR_980218的博客
08-02 357
Mybatis万能的map
MyBatis二级缓存深度解析:从入门到实战,看这篇就够了!
weixin_42148384的博客
07-12 595
作为MyBatis的核心功能之一,二级缓存一直是提升数据库查询性能的“利器”。但很多开发者对它的理解还停留在“知道有这么个东西”的阶段,今天咱们就来彻底搞懂它——从原理到实战,从配置到避坑,一篇文章全搞定!
MybatisPlus的LambdaQueryWrapper用法
2301_79693537的博客
08-21 6484
【代码】MybatisPlus的LambdaQueryWrapper用法。
SQL数据库笔记
stjiayc的博客
09-05 967
order by (case when flags=‘是’ then 0 when flags=‘否’ then 1 else 2 end),groupid,SORT。
Text2Sql.Net架构深度解析:从自然语言到SQL的智能转换之道
最新发布
许泽宇的技术分享
09-07 624
AI时代的数据管理革命:Text2Sql.Net让数据库"听懂人话" Text2Sql.Net是基于.NET生态的自然语言转SQL智能工具,通过多层架构实现人机对话式数据库查询。核心技术包括:多轮对话处理(智能上下文管理)、Semantic Schema Linking(精准表结构匹配)、示例学习优化(自我进化机制)。创新性地集成了Microsoft Semantic Kernel、向量搜索和MCP协议,支持Blazor前端可视化。 典型应用场景:数据分析师无需编写复杂SQL,业务人员直
postgresql9.2.4 离线安装
正在努力的苦逼dba
09-04 354
PostgreSQL 9.2.4安装与配置指南 本文详细介绍了PostgreSQL 9.2.4的完整安装过程。
SQL时间过滤神器:DATE_SUB+between实战指南,告别硬编码日期!
XDLYSJ的博客
09-05 1641
本文介绍了MySQL中DATE_SUB和BETWEEN函数的组合使用,用于动态生成时间范围查询。主要内容包括: 基础语法:DATE_SUB用于计算指定日期减去间隔,BETWEEN用于区间判断,两者结合可实现动态时间范围查询。 5个高频场景: 查询近N天数据 查询上月完整数据 查询本月至今数据 查询近N小时实时数据 查询本季度数据 4个常见避坑指南: 日期格式匹配问题 边界值重复统计问题 时区不一致问题 索引失效问题 进阶用法:与其他SQL函数结合,实现更复杂的时间统计需求。
【mysqlSQL自连接实战:查询温度升高的日期
XYiFfang的博客
09-04 1086
数据库查询中,经常需要比较同一表中不同行之间的数据。一个典型场景是:在天气记录表中找出所有当天温度比前一天高的日期对应的id。通过SQL自连接和日期函数,可以高效地查询出满足"当天温度比前一天高"的记录。关键是理解自连接的原理和DATE_ADD函数的用法。这种方法灵活性强,可以适应各种需要比较相邻数据行的场景。掌握这种查询技巧,能够解决实际工作中许多类似的数据分析需求,提高数据库查询能力。思考题:如果需要查询温度连续两天上升的记录,应该如何修改这个查询语句?
SQL优化与准确性提升:基于RAG框架的智能SQL生成技术解析
许泽宇的技术分享
09-04 691
摘要: Vanna开源项目通过检索增强生成(RAG)框架显著提升自然语言转SQL的准确性(从3%跃升至80%)。其核心创新在于动态检索数据库模式、文档及相似SQL示例作为上下文,结合灵活可扩展的架构(支持多种LLM/向量数据库),解决了传统AI方法缺乏领域知识、安全隐患等问题。Vanna实现了业务用户自主查询数据、分析师聚焦高阶分析的流程变革,并通过本地执行、权限控制确保安全性。研究表明,提供精准上下文比单纯依赖大模型性能更关键,为专业领域AI应用提供了范式参考。未来将向复杂数据库支持、自动SQL优化等方向
Go初级之九:Select 与并发控制
He195501的博客
09-04 333
select多通道监听:同时处理多个通道操作超时控制:避免无限等待非阻塞操作:使用default实现非阻塞并发协调:结合信号量控制并发度优雅退出:配合context实现取消机制select是随机选择就绪的casedefault用于非阻塞操作结合time.After实现超时使用nil通道来停止监听注意资源清理和错误处理掌握select的使用,能让你写出更健壮、更高效的并发程序。
在 Ubuntu 上安装和配置 PostgreSQL 实录
qq_58168857的博客
09-07 698
本文介绍了在Ubuntu系统上安装和配置PostgreSQL数据库的完整步骤。主要内容包括:1)通过官方源或PPA源安装最新版本;2)修改配置文件(postgresql.conf和pg_hba.conf)以允许远程访问;3)设置postgres用户密码;4)创建新用户并配置权限;5)防火墙设置和重启服务;6)验证安装和远程连接方法。文章提供了详细的命令行操作指导,帮助用户完成从安装到远程访问的全部配置过程。
【Go项目基建】GORM框架实现SQL校验拦截器(完整源码+详解)
2201_75669520的博客
09-06 791
golang持久层框架GORM当中,实现用于避免/减少慢查询的SQL校验拦截器
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值