如果有遗漏,评论区告诉我进行补充
面试官: mybatis中的#{}和${}的区别是什么?
我回答:
在MyBatis中,#{} 和 ${} 是两种用于参数替换的占位符,它们在SQL语句中的使用方式和作用有所不同,主要体现在安全性、类型处理和预编译SQL语句的处理上。
1. #{}(预处理占位符)
-
安全性:
#{}使用了预处理(PreparedStatement)的方式,有效防止了SQL注入攻击。因为预处理语句在发送SQL语句到数据库之前,会将SQL语句中的参数替换成占位符(如?),然后在执行时再传入具体的参数值。这样,即使参数中包含SQL注入的恶意代码,也不会被数据库执行。MyBatis会将传入的参数值自动加上引号,如果是数字类型,则直接插入,如果是字符串类型,则加上单引号。 -
类型处理:MyBatis 会对
#{}替换的参数进行必要的类型转换和转义处理,以确保参数的类型与数据库表中的列类型相匹配。 -
预编译SQL:使用
#{}的SQL语句在数据库层面会被预编译,这意味着如果同一个SQL语句(仅仅是参数不同)被多次执行,数据库会重用之前的预编译结果,这有助于提高性能。
2. ${}(字符串替换)
-
安全性:
${}是简单的字符串替换,直接将参数值拼接到SQL语句中。这种方式容易受到SQL注入攻击,因为参数值会被直接解析为SQL语句的一部分。如果参数值中包含SQL语句的片段,那么这些片段将作为SQL语句的一部分被执行。 -
类型处理:
${}不会进行类型处理或转义处理,它仅仅是将参数值转换成字符串(如果参数不是字符串的话),然后直接拼接到SQL语句中。 -
预编译SQL:使用
${}的SQL语句不使用预编译SQL,因为每次执行时SQL语句本身都可能不同(取决于参数值)。这可能导致性能下降,特别是在执行大量相似但参数不同的SQL语句时。 -
灵活性:使用${}可以提高SQL语句的灵活性,特别是在需要动态指定表名或列名的情况下。
选择使用哪个
#{} vs ${}
- 安全性:在安全性方面,#{}更为安全,因为它会自动转义特殊字符,防止SQL注入攻击。
- 性能:在性能方面,#{}优于${},因为预编译SQL可以减少数据库的解析负担。
- 灵活性:在灵活性方面,${}比#{}更具优势,尤其是在需要动态生成SQL语句的部分(如表名、列名)。
使用场景示例
使用#{}的场景
- 当你需要传递一个参数到SQL语句中,并且这个参数是一个具体的值时,比如
id、name等。 - 当你关心SQL注入安全时。
使用${}的场景
- 当你需要动态指定表名或列名时,比如根据用户的输入来决定查询哪个表。
- 当你确信传入的参数是安全的,并且不需要进行SQL注入防护时。
总结
在大多数情况下,推荐使用#{}来传递参数,因为它提供了更好的安全性和性能。然而,在某些特定情况下,如需要动态生成表名或列名时, 可能是必要的选择。无论如何,使用 {}可能是必要的选择。无论如何,使用 可能是必要的选择。无论如何,使用{}时务必注意SQL注入的风险,并采取适当的安全措施。
257
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
