MyBatis面试题:#{}和${}的区别是什么?

于 2022-08-20 01:44:22 发布
阅读量266 收藏
点赞数
分类专栏: 面试 文章标签: mybatis java mysql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/GeorgeZHAN/article/details/126434391
版权

#{}和${}的区别是什么?

正确的答案是:#{}是预编译处理,${}是字符串替换。

(1)mybatis在处理#{}时,会将sql中的#{}替换为?号,调用PreparedStatement的set方法来赋值。

(2)mybatis在处理${}时,就是把${}替换成变量的值。

(3)使用#{}可以有效的防止SQL注入,提高系统安全性。原因在于:预编译机制。预编译完成之后,SQL的结构已经固定,即便用户输入非法参数,也不会对SQL的结构产生影响,从而避免了潜在的安全风险。

(4)预编译是提前对SQL语句进行预编译,而其后注入的参数将不会再进行SQL编译。我们知道,SQL注入是发生在编译的过程中,因为恶意注入了某些特殊字符,最后被编译成了恶意的执行操作。而预编译机制则可以很好的防止SQL注入。

补充1:

$符号一般用来当作占位符,常使用Linux脚本的人应该对此有更深的体会吧。例如:$1,$2等等表示输入参数的占位符。知道了这点就能很容易区分$和#,从而不容易记错了。

补充2:

万事洞明皆学问,对于mybatis与sql这两门技术而言,看似简单,但是深挖进去会发现里面的东西还是挺多的。要想成为一名合格的开发人员,需要不断的去学习,更需要不断的去思考。可以参考:http://www.mybatis.cn/category/mysql-mybatis/,系统的学习sql和mybatis的东西

补充3:

有网友提问:既然${}会引起sql注入,为什么有了#{}还需要有${}呢?那其存在的意义是什么?

可以这么去理解:#{}主要用于预编译,而预编译的场景其实非常受限,而${}用于替换,很多场景会出现替换,而这种场景可不是预编译,例如:MyBatis XML配置对抗MyBatis注解的一大杀器:SQL片段,抽取可重用的SQL语句
GeorgeZHAN
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Mybatis 的 ${} #{}的区别是什么
阿杰同学的博客
11-24 564
Mybatis 的 ${} #{}的区别是什么 ${} 相当于直接拼接SQL,类似于 JDBC 的 Statement 用法, String sql = "select * from table where xxx = " + xxx + " and yyy = " + yyy; 这种方式缺陷是有被 SQL 注入的风险,并且数据库每次都会重新编译此SQL,因为每次都认为是一个新的 SQL。 ==#{} 相当于预编译 SQL,对应 JDBC 的 PreparedStatement,就是 ? == 占位符形
Mybatis的#{}和${}的区别是什么?
qq_29860591的博客
12-15 443
#{}和${}的区别是什么? 正确的答案是:#{}是预编译处理,${}是字符串替换。 (1)mybatis在处理#{}时,会将sql的#{}替换为?号,调用PreparedStatement的set方法来赋值。 (2)mybatis在处理${}时,就是把${}替换成变量的值。 (3)使用#{}可以有效的防止SQL注入,提高系统安全性。原因在于:预编译机制。预编译完成之后,SQL的结构已...
MyBatis #{}和${}的区别是什么?
ClearDream__的博客
06-06 66
MyBatis #{}和${}的区别是什么
mybatis #{}和${}的区别是什么?
最帅程序猿的博客
01-11 333
***#{}是预编译处理,KaTeX parse error: Expected 'EOF', got '#' at position 26: …** Mybatis 在处理#̲{}时,会将 sql 的#{…{}时,就是把${}替换成变量的值。 **使用#{}可以有效的防止 SQL 注入,**提高系统安全性。 ...
MyBatis的${}和#{}的区别
JianNingGao的博客
12-30 356
1 、  理论区别          $与#的区别是很大的。#为占位符,而$为字符串拼接符。 字符串拼接是将参数值以硬编码的方式直接拼接到了SQL 语句。字符串拼接就会引发  两个问题:SQL注入问题   与没有使用预编译所导致的执行效率低下问题。 占位符的引入,解决以上两个问题。 2、 应用场景        一般情况下,动态参数的值是由用户输入的,则不能使用拼接符$,因为有可能会出现S
MyBatis#{}和${}的区别
理想主义的花终将盛开在浪漫主义的土壤里,我的热情永远不会熄灭在现实的平凡之中,我们终将上岸,阳光万里。
10-26 275
MyBatis#{}和${}的区别 #{} 是预编译处理,是占位符,${} 是字符串替换、是拼接符; MyBatis 在处理 #{} 时,会将 sql 的 #{} 替换为 ?,调用 PreparedStatement 来赋值; MyBatis 在处理 ${} 时,是把 ${} 替换成变量的值,调用 Statement 来赋值; 使用 #{} 可以有效地防止 SQL 注入,提高系统安全性。 示例: #{} SELECT * FROM user WHERE name = #{name} and pass
mybatis面试题#和$的区别.pdf
04-24
mybatis面试题#和$的区别.pdf
Mybatis面试题(含答案)_.pdf
08-06
1. #{}和${}的区别是什么? 2. 通常一个 Xml 映射文件,都会写一个 Dao 接口与之对应, 请问,这个 Dao 接口的工作原理是什么?Dao 接口里的方法, 参数不同时,方法能重载吗? 3. Mybatis 是如何进行分页的?分页...
mybatis面试题(经典问答)
06-27
mybatis面试题(经典问答) 1、JDBC有多少步? JDBC可以分为六个步骤 负载驱动程序 获取数据库连接 创建语句对象 操作数据库进行增删改查 获取结果集 关闭资源 2.什么是mybatis? 如果你在面试被问到,只需说以下...
mybatis面试题.pdf
04-24
mybatis面试题.pdf
mybatis面试题整理详细版
06-23
MyBatis 面试题整理详细版 MyBatis 是一个半 ORM(对象关系映射)框架,它内部封装了 JDBC,开发时只需要关注 SQL 语句本身,不需要花费精力去处理加载驱动、创建连接、创建 statement 等繁杂的过程。MyBatis 可以...
经典重现丨面试题MyBatis的#和$有什么区别?!
威哥爱编程,一个坚持研究技术的80后老鸟,擅长后端、AI 大模型、鸿蒙等技术体系,愿与你在技术路上一起成长!
07-15 607
MyBatis支持使用${}和#{}两种符号来进行动态SQL的拼接,可能有些人没有留意到,认为${}和#{}的作用是差不多的,其实这两者的功能虽然相似,但区别是比较大的!用过JDBC的小伙伴可能会知道,这就跟JDBC的PrepareStatement和Statement的区别是一样的,使用`#`就相当于使用PrepareStatement,而使用`$`就相当于使用Statement。大家知道,#在SQL语句的含义是注释,#后面的SQL内容是不执行的。...
Mybatis面试题及答案
TableSun的博客
04-06 405
1、什么是MyBatis? 答:MyBatis是一个可以自定义SQL、存储过程和高级映射的持久层框架。 2.Mybatis的缓存 答:MyBatis的缓存分为一级缓存和二级缓存,一级缓存放在session里面,默认就有,二级缓存放在它的命名空间里,默认是不打开的,使用二级缓存属性类需要实现Serializable序列化接口(可用来保存对象的状态),可在它的映射文件配置 3、Mybatis是如何进...
为什么Mybatis#{}和${}不同
weixin_45743816的博客
06-23 507
为什么Mybatis#{}和${}不同
面试题mybatis"#()"和“$()”的区别
清幽天长的博客
09-02 1869
经常碰到这样的面试题目:#{}和${}的区别是什么? 网上的答案是:#{}是预编译处理,${}是字符串替换。mybatis在处理#{}时,会将sql的#{}替换为?号,调用PreparedStatement的set方法来赋值;mybatis在处理${}时,就是把${}替换成变量的值。使用#{}可以有效的防止SQL注入,提高系统安全性。 对于这个题目我感觉要抓住两点: (1)$符号一般用来当作...
Mybatis#{}和${}
沐羽~的博客
08-27 2212
动态 sql 是 MyBatis 的主要特性之一,在 mapper 定义的参数传到 xml 之后,在查询之前 MyBatis 会对其进行动态解析。MyBatis 为我们提供了两种支持动态 sql 的语法:#{} 以及 ${}。 #{}和${}有什么区别? #{}: #{}是预编译处理,实现的是sql语句的预处理参数,Mybatis在处理#{}时,会将sql的#{}替换为 ? 号,调用PreparedStatement的set方法赋值;使用时不需要关注数据类型,Mybatis自动实现数据类型的转换,并且
Mybatis#{}和${}的区别
Lqf111的博客
10-06 547
1,#{}是占位符,预编译处理;${}是拼接符,单纯的字符串替换,没有预编译处理。 2,Mybatis在处理#{}时,#{}传入参数是以字符串传入,会将SQL的#{}替换为?,调用PreparedStatement的set方法来赋值。 3,Mybatis在处理${}时是原值传入的,就是把{}的内容替换成变量的值,相当于JDBC的Statement编译。 4,变量替换后,#{}对应的变量会自动加上单引号;${}对应的变量不会加上单引号。 5,#{}可以有效的防止SQL注入,提高系统的安全性。
上海汉得校招笔试-Java
a2269的博客
09-25 7365
上海汉得校招笔试-Java一、单项选择题(2分/题,共20分)二、多项选择题 (4分/题,共20分)三、填空题(4分/题,共20分)四、简答题(5分/题,共20分)五、编程题(20分) 一、单项选择题(2分/题,共20分) 代码如下计 public static void main(String[] args){ Long value1 = 1L; Long value2 = 1L; L...
MyBatis面试必备:最新面试题与解析
"这是一份全面的MyBatis面试题集,包含了MyBatis的基本概念、缓存机制、分页、插件等核心知识点,并提供了详细的答案解析,旨在帮助开发者在面试展示出扎实的MyBatis技能。" 在面试,对MyBatis的理解深度往往是...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值