MyBatis探秘 #{}与${}参数传递差异解码——筑牢数据库交互之根基

二、安全性对比：SQL注入风险

这是两者最显著也最关键的差异。

• #{} 高度安全：由于其预编译特性，用户输入的内容无论如何变化，都只会被当作参数值处理，无法改变原SQL语句的结构，因此从根本上杜绝了SQL注入攻击。
• ${} 存在风险：由于是直接拼接，如果${}内的参数值来自不可信的用户输入（如前端表单），攻击者可以精心构造输入来改变SQL语义，导致数据泄露、篡改甚至删除。例如，对于SELECT <em> FROM user WHERE id = ${inputId}，如果inputId被传入"1 OR 1=1"，最终执行的SQL将变成SELECT </em> FROM user WHERE id = 1 OR 1=1，导致查询出所有用户数据。

安全准则：绝大多数情况下，应优先使用#{}。只有在参数值明确安全、且需要动态改变SQL结构（非数据值）的场景下，才谨慎考虑使用${}。

三、适用场景剖析

#{} 的典型场景：
1. WHERE条件中的值：这是最主要的使用场景，用于传递查询、更新、删除的条件值。
2. INSERT语句的VALUES值。
3. UPDATE语句的SET值。
简单来说，几乎所有传递具体数据值的地方都应使用#{}。

${} 的适用场景（需谨慎）：
1. 动态表名或列名：当SQL语句需要根据参数动态指定数据库表名或字段名时，因为这些内容是SQL结构的一部分，无法使用预编译的?占位。如上文的${tableName}例子。
2. ORDER BY 排序字段：需要根据前端选择动态排序时，如ORDER BY ${sortField} ${sortOrder}。
3. SQL函数或特殊关键字：如使用数据库原生函数，如SELECT ${aggregateFunction}(column) FROM table。

关键提醒：在使用${}时，必须确保参数值不是来自不可信的直接用户输入。最佳实践是，在服务端代码中通过白名单机制进行校验和映射，例如将前端传入的"sortByTime"映射为数据库列名"create_time"，再传递给${}。

四、与数据库连接池的协同

理解#{}与${}的差异，对于充分发挥数据库连接池（如HikariCP, Druid等）的效能至关重要。

1. 提升连接复用效率：预编译语句（#{}生成）是数据库连接池优化的重点。数据库驱动和服务器会对预编译语句进行缓存（Statement Caching）。当相同的SQL结构（仅参数值不同）反复执行时，数据库可以跳过语法解析和优化阶段，直接使用缓存的执行计划，极大提升了执行速度。连接池可以更好地管理和复用这些“已准备好”的语句句柄，减少数据库端的资源开销。
2. 保障连接健康与安全：使用#{}避免了SQL注入，从而防止了因恶意SQL导致的数据库连接异常占用、资源耗竭或数据损坏，确保了连接池中每个连接的健康和稳定，维护了整个应用数据交互基石的牢固。
3. ${}的潜在影响：滥用${}会导致每次SQL语句都可能不同（因为字符串内容变了），数据库无法有效缓存执行计划，降低了执行效率。注入风险可能导致数据库异常，间接影响连接池的稳定性和可用性。

###

#{}与${}的选择，本质上是安全、性能与灵活性的权衡。

• #{}是默认且首选的方案，它安全、高效，能与数据库及连接池深度优化配合，是处理用户输入和业务数据的“安全卫士”。
• ${}是特定场景下的工具，它提供了动态SQL的灵活性，但必须由开发者在确保参数值绝对安全的前提下审慎使用，是处理SQL结构动态性的“手术刀”。

筑牢数据交互的根基，始于对每一个SQL语句细节的精准把控。正确使用#{}与${}，不仅是编写MyBatis代码的基本功，更是构建稳健、高性能数据持久层，让数据库连接池等基础设施发挥最大效能的基石。