面试突击76:${} 和 #{} 有什么区别?

最新推荐文章于 2024-01-10 10:50:34 发布
最新推荐文章于 2024-01-10 10:50:34 发布
阅读量407 收藏 1
点赞数
文章标签: 面试 mybatis sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Chenhui98/article/details/126478551
版权

${} 和 #{} 都是 MyBatis 中用来替换参数的,它们都可以将用户传递过来的参数,替换到 MyBatis 最终生成的 SQL 中,但它们区别却是很大的,接下来我们一起来看。

1.功能不同

${} 是将参数直接替换到 SQL 中,比如以下代码:

<select id="getUserById" resultType="com.example.demo.model.UserInfo">
    select * from userinfo where id=${id}
</select>
复制代码

最终生成的执行 SQL 如下:

从上图可以看出,之前的参数 ${id} 被直接替换成具体的参数值 1 了。 而 #{} 则是使用占位符的方式,用预处理的方式来执行业务,我们将上面的案例改造为 #{} 的形式,实现代码如下:

<select id="getUserById" resultType="com.example.demo.model.UserInfo">
    select * from userinfo where id=#{id}
</select>
复制代码

最终生成的 SQL 如下:

${} 的问题

当参数为数值类型时(在不考虑安全问题的前提下),${} 和 #{} 的执行效果都是一样的,然而当参数的类型为字符时,再使用 ${} 就有问题了,如下代码所示:

<sele
最低0.47元/天 解锁文章
C陈三岁
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
突击java面试良品,包括各种面试题:
11-25
突击java面试良品,包括各种面试题: 1.面试注意点 2.java基础 3.计算机基础 4.数据库 5.常用框架(Spring+MyBatis+Kafka+Netty) 6.认证授权技术 7.优质面经 8.微服务/分布式 9.开源项目推荐。
新人一看就懂: #{} 和 ${} 的区别
CYK_byte的博客
03-01 1万+
1、#{} 是预编译处理,${} 是直接替换;2、${} 存在SQL注入的问题,而 #{} 不存在;Ps:这也是面试主要考察的部分~
#{} 和 ${} 的区别
weixin_45817985的博客
07-13 3015
#{}与${}
#{}和${}的区别
qq_44980917的博客
10-02 2411
#{}和${}的区别一、区别汇总1.编译过程2.是否自动加单引号3.安全性二、区别说明1.${}2.#{}3.关于安全性三、如何选择#{}和${} #{}和${}这两个语法是Mybatis实现动态sql的基础,是为了动态传递参数而存在的。总体上他们的作用是一致的(动态穿参),但是在编译过程、是否自动加单引号、安全性、使用场景等方面有很多不同 一、区别汇总 1.编译过程 1.#{}是占位符:动态解析->预编译->执行 2.${}是拼接符:动态解析->编译->执行 #{}作为sql
mybatis #{}和${}的区别是什么
weixin_30895603的博客
04-16 1600
#{}和${}的区别是什么?正确的答案是:#{}是预编译处理,${}是字符串替换。(1)mybatis在处理#{}时,会将sql中的#{}替换为?号,调用PreparedStatement的set方法来赋值。(2)mybatis在处理${}时,就是把${}替换成变量的值。(3)使用#{}可以有效的防止SQL注入,提高系统安全性。原因在于:预编译机制。预编译完成之后,SQL的结构已经固定,即便用户输...
#{}与${}的区别
热门推荐
weixin_44863976的博客
09-08 1万+
#{}与${}的区别 区别 1. #{} 解析为一个 JDBC 预编译语句(prepared statement)的参数标记符,一个 #{ } 被解析为一个参数占位符;而${}仅仅为一个纯碎的 string 替换,在动态 SQL 解析阶段将会进行变量替换。 2. #{} 解析之后会将String类型的数据自动加上引号,其他数据类型不会;而${} 解析之后是什么就是什么,他不会当做字符串处理。 3...
JavaGuide面试突击最新版
10-01
JavaGuide面试突击最新版是JavaGuide的最新版本,旨在提供详细的Java知识总结和面试指导。该项目已经获得了90k+ Star,成为Java类别项中Star数量第二的开源项目。 一、Java基础知识总结 * Java基础知识总结是...
Java工程师面试突击第1季笔记
12-06
Java工程师面试突击第1季笔记 面试官:你好。 候选人:你好。 (面试官在你的简历上面看到了,呦,有个亮点,你在项目里用过 MQ ,比如说你用过 ActiveMQ ) 面试官:你在系统里用过消息队列吗?(面试官在随和的...
Java程序员面试宝典(Java面试突击核心讲)
02-18
带目录分类,按题目展示,共计近2000个常见Java面试题。例如: 问:什么是Java程序的主类?应用程序和小程序的主类有何不同? 答:一个程序中可以有多个类,但只能有一个类是主类。在Java应用程序中,这个主 类是指...
软件测试面试突击.zip
06-15
"软件测试面试突击.zip"这个压缩包显然是为准备软件测试面试的人精心准备的资源集合,它包括了面试经验和相关的面试题目,旨在帮助应聘者充分准备,提高成功通过面试的可能性。 "新建 Microsoft Word 文档 (2).docx...
#{}和${}的区别是什么?
qq_40826814的博客
05-15 7348
osc_kf98pg0d 2020/01/20 14:45 阅读数 3.1K 动态sqlmybatis的主要特性之一,在mapper中定义的参数传到xml中之后,在查询之前mybatis会对其进行动态解析。mybatis为我们提供了两种支持动态sql的语法:#{}以及${}。 面试题:#{}和${}的区别是什么? 1)#{}是预编译处理,$ {}是字符串替换。 2)mybatis在处理#{}时,会将sql中的#{}替换为?号,调用PreparedStatem...
#{}和${}的区别及什么情况下必须使用${}
lilamei170607的博客
02-24 4430
一、两者区别。#{}:表示占位符,如果获取简单类型,#{}中可以使用value也可以使用其他名称;可以有效防止sql注入;设置参数时无需考虑参         数类型。      使用oracle查询条件是日期类型,如果使用#{}则:     select * from table where birthday &gt;=#{birthday}${}:表示sql拼接,如果获取简单类型,${}中只能...
${}和#{}的区别
The best are water的博客
03-18 8886
1. 介绍 ${}:sql拼接符号(替换结果不会增加单引号‘’,like和order by后使用,存在sql注入问题,需手动代码中过滤) #{}:占位符号,可以防止sql注入(替换结果会增加单引号‘’) 2. 具体分析 动态 SQLmybatis 的强大特性之一,也是它优于其他 ORM 框架的一个重要原因。mybatis 在对 sql 语句进行预编译之前,会对 sql 进行动态解析,解析...
mybatis中#{}和${}的区别
Zhangsama1的博客
08-27 4657
​1:尽量使用#{},只要能使用#{}解决,尽量使用#{}​2:表名作为参数,使用order by排序的时候使用${}3:多参数的时候尽量使用@Param注解,@Param注解作用为给参数命名,命名后即可根据名字得到对应的参数值​。...
Mybatis常问:#{}与${}的区别
zjjcchina的博客
06-06 2081
查询到数据才可以是登录成功,否则表示登陆失败,但是会有这么一种情况,我们的SQL语句是由我们拼接的,如果用户故意输入可以让后台解析失败的字符串,这就是SQL注入,例如我们输入密码,输入 '''' ' or 1=1'' 这样,他会在后台进行拼接成select count(1) from table where username = 'username' and password = '' or 1=1;由结果可以看出,我们在没有密码的情况下依旧获取到了数据库的私密信息,由此可见${}存在很大的安全隐患。
#{}和${}的区别
weixin_50977434的博客
11-10 2435
简单明了实用
#{}和${}有什么区别
最新发布
林隐的博客
01-10 1266
MyBatis 中,和是两种不同的参数占位符语法,它们在使用方式和处理方式上有一些区别。 的使用方式: 的使用方式:总结:图片来源:#{}和${}的区别是什么?_Java_收获啦在实际使用中,根据具体的场景和需求选择合适的语法。通常情况下,应优先使用 ,除非需要动态生成 SQL 或者明确知道参数值的来源是安全可靠的情况下才考虑使用 。SQL 注入攻击是一种常见的网络安全漏洞,它利用了应用程序对用户输入数据的不恰当处理,通过在用户输入中注入恶意的 SQL 代码来实现攻击目的。SQL 注入攻击的原理是,攻击
Java面试突击-V5.0(八股文之一).pdf
07-01
"Java面试突击-V5.0(八股文之一)"是一个全面的Java面试准备和学习资源集合,它旨在帮助面试者提升技能并顺利通过面试。该资源包主要包括以下几个部分: 1. **面试准备篇**:作者提供了超过10篇文章,详细指导面试者...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值