16-面试官:${} 和 #{} 有什么区别?

已于 2022-09-04 22:06:43 修改
阅读量272 收藏
点赞数 1
分类专栏: Java面试 文章标签: mybatis java sql
于 2022-09-04 16:56:23 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39900031/article/details/126691418
版权

文章目录


${} 和 #{} 都是 MyBatis 中用来替换参数的,它们都可以将用户传递过来的参数,替换到 MyBatis 最终生成的 SQL 中,但它们区别却是很大的,接下来我们一起来看。
在这里插入图片描述

1.功能不同

${} 是将参数直接替换到 SQL 中,比如以下代码:

<select id="getUserById" resultType="com.example.demo.model.UserInfo">
    select * from userinfo where id=${id}
</select>

执行 SQL 如下:在这里插入图片描述
图片从上图可以看出,之前的参数 ${id} 被直接替换成具体的参数值 1 了。而 #{} 则是使用占位符的方式,用预处理的方式来执行业务,我们将上面的案例改造为 #{} 的形式,实现代码如下:

<select id="getUserById" resultType="com.example.demo.model.UserInfo">
    select * from userinfo where id=#{id}
</select>

最终生成的 SQL 如下:图片

${} 的问题

当参数为数值类型时(在不考虑安全问题的前提下),${} 和 #{} 的执行效果都是一样的,然而当参数的类型为字符时,再使用 ${} 就有问题了,如下代码所示:

<select id="getUserByName" resultType="com.example.demo.model.UserInfo">
    select * from userinfo where name=${name}
</select>

这样就会导致程序报错,因为传递的参数是字符类型的,而在 SQL 的语法中,如果是字符类型需要给值添加单引号,否则就会报错,而 ${} 是直接替换,不会自动添加单引号,所以执行就报错了。而使用 #{} 采用的是占位符预执行的,所以不存在任何问题,它的实现代码如下:

<select id="getUserByName" resultType="com.example.demo.model.UserInfo">
    select * from userinfo where name=#{name}
</select>

2.使用场景不同

虽然使用 #{} 的方式可以处理任意类型的参数,然而当传递的参数是一个 SQL 命令或 SQL 关键字时 #{} 就会出问题了。比如,当我们要根据价格从高到低(倒序)、或从低到高(正序)查询时,如下图所示:图片此时我们要传递的排序的关键字,desc 倒序(价格从高到低)或者是 asc 正序(价格从低到高),此时我们使用 ${} 的实现代码

<select id="getAll" resultType="com.example.demo.model.Goods">
  select * from goods order by price ${sort}
</select>

以上代码生成的执行 SQL 和运行结果如下:图片但是,如果将代码中的 ${} 改为 #{},那么程序执行就会报错,#{} 的实现代码如下:

<select id="getAll" resultType="com.example.demo.model.Goods">
  select * from goods order by price #{sort}
</select>

当传递的是普通参数时,需要使用 #{} 的方式,而当传递的是 SQL 命令或 SQL 关键字时,需要使用 ${} 来对 SQL 中的参数进行直接替换并执行

3.安全性不同

${} 和 #{} 最主要的区别体现在安全方面,当使用 ${} 会出现安全问题,也就是 SQL 注入的问题,而使用 #{} 因为是预处理的,所以不会存在安全问题,我们通过下面的登录功能来观察一下二者的区别。

3.1 使用 ${} 实现用户登录

UserMapper.xml 中的实现代码如下:

<select id="login" resultType="com.example.demo.model.UserInfo">
  select * from userinfo where name='${name}' and password='${password}'
</select>

单元测试代码如下:

@Test
void login() {
    UserInfo userInfo = userMapper.login("java", "java");
    System.out.println(userInfo);
}

以上代码生成的执行 SQL 和运行结果如下:图片
从结果可以看出,当我们传入了正确的用户名和密码时,能成功的查询到数据。但是,在我们使用 ${} 时,当我们在不知道正确密码的情况下,使用 SQL 注入语句也能用户的私人信息,SQL 注入的实现代码如下:

@Test
void login() {
    UserInfo userInfo = userMapper.login("java", "' or 1='1");
    System.out.println(userInfo);
}

以上代码生成的执行 SQL 和运行结果如下:图片
从上述结果可以看出,当使用 ${} 时,在不知道正确密码的情况下也能得到用户的私人数据,这就像一个小偷在没有你们家钥匙的情况下,也能轻松的打开你们家大门一样,这是何其恐怖的事情。那使用 #{} 有没有安全问题呢?接下来我们来测试一下。

3.2 使用 #{} 实现用户登录

首先将 UserMapper.xml 中的代码改成以下内容:

<select id="login" resultType="com.example.demo.model.UserInfo">
  select * from userinfo where name=#{name} and password=#{password}
</select>

接着我们使用上面的 SQL 注入来测试登录功能:

@Test
void login() {
    UserInfo userInfo = userMapper.login("java", "' or 1='1");
    System.out.println(userInfo);
}

最终生成的 SQL 和执行结果如下:图片
从上述代码可以看出,使用 SQL 注入是无法攻破 #{} 的“大门”的,所以可以放心使用。

总结

${}#{} 都是 MyBatis 中用来替换参数的,它们二者的区别主要体现在:

1、功能不同:${} 是直接替换,而 #{} 是预处理;
2、使用场景不同:普通参数使用 #{},如果传递的是 SQL 命令或 SQL 关键字,需要使用 ${},但在使用前一定要做好安全验证;
3、安全性不同:使用 ${} 存在安全问题,而 #{} 则不存在安全问题。

原文
https://mp.weixin.qq.com/s/atzc0tHYk_t-xjHNwIJlAQ

yujkss
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JavaScript中的$$$是什么意思? 有什么区别.zip
01-07
JavaScript js 中的$$$是什么意思? 有什么区别.zip
Java 面试题(3) Mybatis中的 ${ } 和 #{ } 的区别
不负年华
04-23 281
Java 面试题: Mybatis中的 ${ } 和 #{ } 的区别 ? 一,显示不同 #{ } 这种方式会将传入的数据自动加上双引号,如 name = #{uname} ,实际上传入的值是 zhangsan ,那么sql 经过 编译就会变成 name=“zhangsan” 。 ${ } 这种方式将传入的数据直接显示在sql (类型拼接在对应的位置上),如 name = ${uname} ,实际...
2021 Java面试题大全(整理版)1000+面试题附答案详解,最全面详细,看完稳了!
热门推荐
weixin_50333534的博客
02-24 6万+
进大厂是大部分程序员的梦想,而进大厂的门槛也是比较高的,所以这里整理了一份阿里、美团、滴滴、头条等大厂面试大全,其中概括的知识点有:Java、MyBatis、ZooKeeper、Dubbo、Elasticsearch、Memcached、 Redis、MySQL、Spring、Spring Boot、Spring Cloud、RabbitMQ、Kafka、Linux 等技术栈共有1000+道面试题。 对于Java后端的朋友来说应该是最全面最完整的面试备战仓库,为了更好地整理每个模块,我也参考了很多网上
经典重现丨面试题之MyBatis中的#$有什么区别?!
finally_vince的博客
07-15 582
MyBatis支持使用${}和#{}两种符号来进行动态SQL的拼接,可能有些人没有留意到,认为${}和#{}的作用是差不多的,其实这两者的功能虽然相似,但区别是比较大的!用过JDBC的小伙伴可能会知道,这就跟JDBC中的PrepareStatement和Statement的区别是一样的,使用`#`就相当于使用PrepareStatement,而使用`$`就相当于使用Statement。大家知道,#在SQL语句中的含义是注释,#后面的SQL内容是不执行的。...
10.${} 与 #{} 的区别(Mybatis面试题)
羊肉串学爪哇的博客
06-15 631
详细!
新人一看就懂: #{} 和 ${} 的区别
CYK_byte的博客
03-01 1万+
1、#{} 是预编译处理,${} 是直接替换;2、${} 存在SQL注入的问题,而 #{} 不存在;Ps:这也是面试主要考察的部分~
#{} 和 ${} 的区别
weixin_45817985的博客
07-13 2913
#{}与${}
#{}和${}的区别
qq_44980917的博客
10-02 2188
#{}和${}的区别一、区别汇总1.编译过程2.是否自动加单引号3.安全性二、区别说明1.${}2.#{}3.关于安全性三、如何选择#{}和${} #{}和${}这两个语法是Mybatis实现动态sql的基础,是为了动态传递参数而存在的。总体上他们的作用是一致的(动态穿参),但是在编译过程、是否自动加单引号、安全性、使用场景等方面有很多不同 一、区别汇总 1.编译过程 1.#{}是占位符:动态解析->预编译->执行 2.${}是拼接符:动态解析->编译->执行 #{}作为sql的
mybatis #{}和${}的区别是什么
weixin_30895603的博客
04-16 1578
#{}和${}的区别是什么?正确的答案是:#{}是预编译处理,${}是字符串替换。(1)mybatis在处理#{}时,会将sql中的#{}替换为?号,调用PreparedStatement的set方法来赋值。(2)mybatis在处理${}时,就是把${}替换成变量的值。(3)使用#{}可以有效的防止SQL注入,提高系统安全性。原因在于:预编译机制。预编译完成之后,SQL的结构已经固定,即便用户输...
#{}与${}的区别
weixin_44863976的博客
09-08 1万+
#{}与${}的区别 区别 1. #{} 解析为一个 JDBC 预编译语句(prepared statement)的参数标记符,一个 #{ } 被解析为一个参数占位符;而${}仅仅为一个纯碎的 string 替换,在动态 SQL 解析阶段将会进行变量替换。 2. #{} 解析之后会将String类型的数据自动加上引号,其他数据类型不会;而${} 解析之后是什么就是什么,他不会当做字符串处理。 3...
react-interview-questions:React + Redux技能的技术筛选问题
04-30
道具和状态之间有什么区别? 答:道具是只读的,并且从父组件传递到子组件; 状态是特定React组件的内部对象,并且可以更改,因为它确定了组件的状态。 它对其他组件不可见。 什么是纯成分? 答:React中的纯(功能...
zxing.java源码解析-Android_Interview:Android_面试
06-06
17.线程sleep和wait有什么区别 18.View,ViewGroup事件分发 19.保存Activity状态 onSaveInstanceState() 7.http与https的区别 此处延伸:https的实现原理 23.自定义view和动画 以下两个讲解都讲得很透彻,这部分面试...
值类型和引用类型的区别
12-24
记得有一次电话面试中,我直接跟面试说:“值类型是现金, 引用类型是存折”,后来想想当时说这话虽是有点儿冲动地脱口而出,但也没什么不妥。我这人不善于背理论的教条,喜欢把书本上那些生硬的话跟现实生活中...
面试JAVA常被问到的问题(持续更新中)
weixin_39388918的博客
07-23 2万+
引言 有的面试会被问到有没有写博客,这时候我尴尬,不知道怎么回答,所以这篇文章仅仅是把我面试JAVA的遇到的问题记录下来而已,也算是我写博客迈出的第一步,起码,以后被问到:有没有写博客?我可以回答,我写过。 (最主要的是以后换工作我不用频繁百度常见面试题了。。。。) ps 1,别把我太当回事,我是个LJ; 2,说得不对的地方请多多包涵,想看更详细的请百度方文档和其他大佬的文章; 3,如果有被问到......
面试题:Mybatis中 $#区别
no problem的博客
04-18 1万+
前言: 能看到这里的各位,想必都是java程序员吧,面试的时候估计大部分的人,都会从面试口中听到这个面试问题吧? 你当时是怎么回答的呢?回答的自信吗?回答的让自己和面试满意吗?是否知道怎么在自己的项目中用#{}和${}符号呢? 如果以上问题你都回答否的话,我想看过这篇文章可以让你回答是。 问题:请说明mybatis中#$区别? 答: 相同点: 都能取到变量的值。 不同点: #可以实现预编译,会先把#{变量}编译成?,在执行时再取值,可以防止sql注入。 $是直接进行字符串替换。
Linux 命令中的 $() 和 ${} 的区别
布袋和尚
06-24 2837
小括号里面是 Linux 命令,作用就是执行里面的命令后返回执行的结果;和 ``(反引号)作用一样。 与 ``(反引号)都是用来作命令替换的。命令替换与变量替换差不多,都是用来重组命令行的,先完成引号里的命令行,然后将其结果替换出来,再重组成新的命令行。栗子:意思是执行 date 命令,返回执行结果给变量 todaydate,也可以写为: 比如: 其实是要执行 里面的命令 ,然后用执行的结果替换 内容。 等价于: 变量替换,大括号里面是变量,取变量的值替换 。一般情况下, 与 是没有区别的,但是用
从源码的角度,来阐述#{name}和${name}的区别面试直呼“好”
最新发布
07-25
#{name}和${name}是在不同的上下文中使用的变量表示方式。 1. #{name}:这种表示方式通常用于模板引擎中,例如Ruby on Rails的模板引擎ERB。在ERB中,#{name}会被解析为一个表达式,并将其结果插入到模板中。这种...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值