经常碰到这样的面试题目:#{}和${}的区别是什么?
网上的答案是:#{}是预编译处理,KaTeX parse error: Expected 'EOF', got '#' at position 20: …符串替换。mybatis在处理#̲{}时,会将sql中的#{}替…{}时,就是把${}替换成变量的值。使用#{}可以有效的防止SQL注入,提高系统安全性。
对于这个题目我感觉要抓住两点:
(1)
符
号
一
般
用
来
当
作
占
位
符
,
常
使
用
L
i
n
u
x
脚
本
的
人
应
该
对
此
有
更
深
的
体
会
吧
。
既
然
是
占
位
符
,
当
然
就
是
被
用
来
替
换
的
。
知
道
了
这
点
就
能
很
容
易
区
分
符号一般用来当作占位符,常使用Linux脚本的人应该对此有更深的体会吧。既然是占位符,当然就是被用来替换的。知道了这点就能很容易区分
符号一般用来当作占位符,常使用Linux脚本的人应该对此有更深的体会吧。既然是占位符,当然就是被用来替换的。知道了这点就能很容易区分和#,从而不容易记错了。
(2)预编译的机制。预编译是提前对SQL语句进行预编译,而其后注入的参数将不会再进行SQL编译。我们知道,SQL注入是发生在编译的过程中,因为恶意注入了某些特殊字符,最后被编译成了恶意的执行操作。而预编译机制则可以很好的防止SQL注入。
万事洞明皆学问,对于mybatis与sql这两门技术而言,看似简单,但是深挖进去会发现里面的东西还是挺多的。要想成为一名合格的开发人员,需要不断的去学习,更需要不断的去思考。可以参考:http://www.mybatis.cn/category/mysql-mybatis/,系统的学习sql和mybatis的东西,