面试为什么会为 #{}和${}的区别?

已于 2022-03-29 16:19:22 修改
阅读量3k 收藏 6
点赞数 2
分类专栏: # 经验心得 # MyBatis框架 默认归档 文章标签: 面试 职场和发展
于 2022-01-18 08:15:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43371556/article/details/122092381
版权

面试为什么会为 #{}和${}的区别

背景

由于一次需求编写, 在使用动态语句拼接时, 使用#{} 和 ${} 得到两种不同的结果集.
通过对问题的回顾, 来体会到面试的时候问这种问题的原因

复现

编写一个接口, 其主要的功能是根据传入的字段进行条件查询. 而且这个字段可以传多个值
经过思考: 决定使用list去接收这个字段, 并且将该list通过Mybaties动态拼接来实现多条件查询

  1. Dao 层接口
    主要注意最后一个字段
List<Map<String, Object>> queryDetailedInfo(@Param("startTime") String startTime, @Param("endTime") String endTime,
                                            @Param("staffName") String staffName, @Param("list") List<String> businessList);
  1. 对应Mapper文件中的SQL
 <select id="queryDetailedInfo" resultType="java.util.Map">
      select
 		*    <!--这里略去详细字段介绍-->
      from t_number_takers
      where 1=1
        <if test="param1 != null and param1 != ''">
            <if test="param2 != null and param2 != ''">
                and takeTime between  #{param1,jdbcType=VARCHAR} and  #{param2,jdbcType=VARCHAR}
            </if>
        </if>
        <if test="param3 != null and param3 != ''">
            and staff_name=#{param3,jdbcType=VARCHAR}
        </if>
        <!--主要注意这里, 修改前-->
        <if test="list != null and list.size() != 0">
            and (
            <foreach collection="list" item="item" separator="or">
                businame = #{item}
            </foreach>
            )
        </if>
      order by id asc
    </select>
  1. 通过SQL语句执行输出可以看到执行的语句和填入的参数如下
    可以看到结果条数为0, 也就是没有查到数据.
    但是通过粗略的观察发现符合这几个条件的确实是有的, 而且还很多. 到底是为什么呢? 带着疑问我们进入下一个环节
-==>  Preparing: select id, IFNULL(window_no,'-') AS '窗口号', IFNULL(staff_no,'-') AS '员工工号', IFNULL(staff_name,'-') AS '员工姓名', businame AS '业务名称', DATE_FORMAT(takeTime,'%Y-%m-%d %H:%i:%s') AS '取号时间', IFNULL(acceptTime,'-') AS '受理时间', (UNIX_TIMESTAMP(endTime) - UNIX_TIMESTAMP(acceptTime)) AS '办理时长' from t_number_takers where 1=1 and takeTime between ? and ? and staff_name=? and ( businame = ? or businame = ? ) order by id asc 
-==> Parameters: 2021-01-31 00:00:00(String), 2021-12-31 00:00:00(String), wyf(String), "开户"(String), "发票账单"(String)
-<==      Total: 0
  1. 我们将语句和参数代入mysql, 查看执行结果
    可以看到在MySQL上面是执行成功的, 那为什么在Mybaties的解释下却执行为空呢?
    聪明的你也会和我一样, 立马反应到可能是 #{} 有问题. 替换成 ${} 就可以了
    这里就是面试的时候为什么会问这题的原因. 通过让我们背题来形成强相关记忆,
    在遇到相关问题后能迅速反映出问题的解决方式


sql完整语句见下图连接

  1. 问题代码以及修改
    可以看到, 仅仅将 # 替换成 $ , 问题就解决了. 那么到底是什么原因导致这个差异的呢?
    <!--主要注意这里, 修改前-->
   <if test="list != null and list.size() != 0">
       and (
       <foreach collection="list" item="item" separator="or">
           businame = #{item}
       </foreach>
       )
   </if>
	
	 <!--主要注意这里, 修改后-->
   <if test="list != null and list.size() != 0">
       and (
       <foreach collection="list" item="item" separator="or">
           businame = ${item}
       </foreach>
       )
   </if>

分析

Mybatis中进行参数传递,可以使用两种方式#{}或者${}, 下面介绍下二者区别:

  1. #{ } 解析为一个 JDBC 预编译语句(prepared statement)的参数标记符;一个 #{ } 被解析为一个参数占位符 ?
    并且在使用#{}时形成的sql语句,已经带有引号,例,select * from table where id=#{id} 在调用这个语句时我们可以通过后台看到打印出的sql为:select * from table where id='2' 加入传的值为2.也就是说在组成sql语句的时候把参数默认为字符串。
  2. ${ } 仅仅为一个纯碎的 string 替换,在动态 SQL 解析阶段将会进行变量替换
  3. ${ } 的变量的替换阶段是在动态 SQL 解析阶段,而 #{ }的变量的替换是在 DBMS 中。
  4. #{} 方式能够很大程度防止sql注入, 而 ${} 方式无法防止Sql注入。

对比下两种方式控制台的输出

  1. 使用#{} 时, 被占位符替换前list中的字段已经有 ""
-==>  Preparing: select id, IFNULL(window_no,'-') AS '窗口号', IFNULL(staff_no,'-') AS '员工工号', IFNULL(staff_name,'-') AS '员工姓名', businame AS '业务名称', DATE_FORMAT(takeTime,'%Y-%m-%d %H:%i:%s') AS '取号时间', IFNULL(acceptTime,'-') AS '受理时间', (UNIX_TIMESTAMP(endTime) - UNIX_TIMESTAMP(acceptTime)) AS '办理时长' from t_number_takers where 1=1 and takeTime between ? and ? and staff_name=? and ( businame = ? or businame = ? ) order by id asc 
-==> Parameters: 2021-01-31 00:00:00(String), 2021-12-31 00:00:00(String), wyf(String), "开户"(String), "发票账单"(String)
-<==      Total: 0
  1. 使用 ${} 时, list中带有 “” 的字段在预编译前已经被替换
-==>  Preparing: select id, IFNULL(window_no,'-') AS '窗口号', IFNULL(staff_no,'-') AS '员工工号', IFNULL(staff_name,'-') AS '员工姓名', businame AS '业务名称', DATE_FORMAT(takeTime,'%Y-%m-%d %H:%i:%s') AS '取号时间', IFNULL(acceptTime,'-') AS '受理时间', (UNIX_TIMESTAMP(endTime) - UNIX_TIMESTAMP(acceptTime)) AS '办理时长' from t_number_takers where 1=1 and takeTime between ? and ? and staff_name=? and ( businame = "开户" or businame = "发票账单" ) order by id asc 
-==> Parameters: 2021-01-01 00:00:00(String), 2021-12-31 23:00:00(String), wyf(String)
-<==      Total: 9

替换成${}后, 通过SQL语句执行输出可以看到执行的语句和填入的参数如上
可以清楚的看到, 在预编译时. ${} 就已经被替换到SQL语句中, 而不是通过占位符进行填入!!!

下面对比下集中拼接的区别

-- 自己手动拼接的条件
where 1=1 
and takeTime between  '2021-01-01 00:00:00' and  '2021-12-31 00:00:00'
and staff_name= 'wyf'
and ( businame = '开户' or businame = '发票账单' ) 
order by id asc 

-- 使用${}
-- mysql中 '' 和 "" 无区别
where 1=1 
and takeTime between  '2021-01-01 00:00:00' and  '2021-12-31 00:00:00'
and staff_name= 'wyf'
and ( businame = "开户" or businame = "发票账单" ) 
order by id asc 

-- 使用#{}
-- 这里需要注意, 因为使用的list 接收的, 但传入的list数据自带了双引号!!!因此拼接语句就变成下面的样式
where 1=1 
and takeTime between  '2021-01-01 00:00:00' and  '2021-12-31 00:00:00'
and staff_name= 'wyf'
and ( businame = '"开户"' or businame = '"发票账单"' ) 
order by id asc

通过上面对比, 结合postman入参可知
原来是在请求时, 传入list的时候的时候, 在每个字符串上都加上了双引号( “”), 如下图, 才导致了这次问题.
将请求中list参数去掉双引号后, 再去修改mybaties中对list的引用为 #{} , 然后再去请求就会惊讶的发现也没有问题了.
棱石乐队
完整请求完整语句见下图连接

反思

通过上面的分析我们可以看到 #{}和${}两者主要区别:

#{} 会被解析成占位符并且会为解析的字段加上一个引号 '',
${} 则是毫无修饰直接替换. 因为${} 是直接替换, 所以容易被SQL注入, 与 #{} 则相反
因此建议尽量使用 #{}

时间静止不是简史
关注
专栏目录
新人一看就懂: #{} 和 ${} 的区别
CYK_byte的博客
03-01 1万+
1、#{} 是预编译处理,${} 是直接替换;2、${} 存在SQL注入的问题,而 #{} 不存在;Ps:这也是面试主要考察的部分~
面试一:#和$,为什么#能够防止SQL注入? 面试二:数据库建立索引为什么为加快查询速度
有问题可关注公众号:前端研究院 后台输入问题回复
12-04 749
1. # 将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号 2. $ 将传入的数据直接显示生成在sql中 MyBatis排序时使用order by动态参数时需要注意,用 ${} 而不是 # #{ } 用于CRUD ${ } 则用于模糊查询(记得加%%) DB执行一条SQL语句的时候,默认的方式是根据搜索条件进行全表扫描,遇到匹配条件的就加入搜索集...
#{}和${}的区别小结
weixin_46015280的博客
07-26 120
#{}是占位符,预编译处理;${}是拼接符,字符串替换,没有预编译处理 Mybatis在处理#{}时,#{}传入参数是以字符串传入,会将SQL中的#{}替换为?号,调用PreparedStatement的set方法来赋值 Mybatis在处理时${},是原值传入,就是把 {}时,是原值传入,就是把{}替换成变量的值,相当于JDBC中的Statement编译 变量替换后,#{} 对应的变量自动加上单引号 ‘’;变量替换后,${} 对应的变量不会加上单引号 ‘’ #{} 可以有效的防止SQL注入,提高系
面试题:${}和#{}的区别
zitian246的博客
10-17 833
区别: 1. #{}是预编译处理(占位符,替换结果会增加单引号),${}是字符串替换。 2. Mybatis 在处理#{}时,会将 sql 中的#{}替换为?号,调用 PreparedStatement 的 set 方法来赋值; Mybatis 在处理${}时,就是把${}替换成变量的值。 3. 使用#{}可以有效的防止 SQL 注入,提高系统安全性。 ·4. 获取值方式的区别:${value},#{参数名} 注:表名作为变量时,必须使用${] 具体分析: ...
Struts2 中#、@、%和$符号的用途
weixin_34038293的博客
11-04 170
一.#符号的用途一般有三种。   “#”主要有三种用途:   1. 访问OGNL上下文和Action上下文,#相当于ActionContext.getContext();下表有几个ActionContext中有用的属性: parameters 包含当前HTTP请求参数的Map #parameters.id[0]作用相当于request.getParameter ("id") request 包含当...
#{}和${}的区别,以及为什么#{}可以防止sql注入
weixin_41399873的博客
03-11 1786
#{}和&{}最大的区别就是前者会进行预编译,后者不会。 预编译简单说就是:数据库偷懒的一种方式。 一、当我向mybatis输入一条带有#{}的语句时: select * from user where uid=#{id} and password=#{pwd}; 这是数据库就会进行预编译,并进行一个缓存动作,缓存一条这样的语句: select * from user where uid=...
#{}和${}的区别
m0_54861649的博客
07-27 835
2.Mybatis在处理#{}的时候会将sql中的#{}替换成?{}没有这个功能,可以是sql手动拼接的,这里前后逻辑可能并不严密,但是sql入去最简单的例子就是这样。在使用mybatis的时候我们会使用到#{}和${}这两个符号来为sql语句传参数。4.#{}的变量替换是在DBMS中、变量替换后,#{}对应的变量自动加上单引号。1.#{}是预编译处理,是占位符,${}是字符串替换,是拼接符。6.使用#{}可以有效的防止sql注入,提高系统的安全性。{}替换成变量的值,调用Statement来赋值。...
面试突击76:${} 和 #{} 有什么区别
Chenhui98的博客
08-23 457
{}${}是直接替换,而 #{} 是预处理;2、使用场景不同:普通参数使用 #{},如果传递的是 SQL 命令或 SQL 关键字,需要使用${},但在使用前一定要做好安全验证;3、安全性不同:使用${}存在安全问题,而 #{} 则不存在安全问题。来源:https://juejin.cn/post/7134865815001628702。
mybatis面试题#和$的区别.pdf
04-24
mybatis面试题#和$的区别.pdf
Mybatis中#{}和${}传参的区别及#和$的区别小结
09-02
在MyBatis框架中,`#{}`和`${}`是两种不同的参数占位符,它们在处理传参时有着显著的差异,同时也关联到`#`和`$`的区别。理解这些差异对于编写安全且高效的SQL查询至关重要。 首先,`#{}`是MyBatis的预编译参数占位...
vue面试题;Vue中的computed和watch有什么区别?请举例说明
最新发布
06-07
Vue中的computed和watch有什么区别?请举例说明。 请解释Vue的生命周期函数及其执行顺序。 请解释Vue的指令和组件的区别,以及它们各自的用途。 Vue使用v-model指令时,如何自定义输入框的类型? Vue的路由是...
java面试精选一 Spring,SpringMVC,SpringBoot,SpringCloud有什么区别和联系?
01-18
java面试精选一 Spring,SpringMVC,SpringBoot,SpringCloud有什么区别和联系? java面试刷题,查缺补漏 java面试刷题,查缺补漏 java面试刷题,查缺补漏 Spring,SpringMVC,SpringBoot,SpringCloud的区别和联系 ...
谈谈面试题之#{}和${}的区别是什么
阿武刚巴得
06-11 239
#{}是预编译处理,是占位符,${}是字符串替换、拼接符 Mybatis在处理#{}时,会将sql中的#{}替换为?号,调用PreparedStatement来赋值。 M
Mybatis 中,#{ } 与 ${ } 的区别
一个胖子IT男的博客
02-17 331
Mybatis 在对 sql 语句进行预编译之前,会对 sql 进行动态解析,解析为一个 BoundSql 对象,也是在此处对动态 SQL 进行处理的。在动态 SQL 解析阶段, #{ } 和 ${ } 会有不同的表现。#{ } 解析为一个 JDBC 预编译语句(prepared statement)的参数标记符,即解析为一个参数占位符 ? 。 ${ } 仅仅为一个纯碎的 string 替换,在
mybatis中#{}和${}的区别
weixin_34149796的博客
08-17 2477
1. #将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by "111", 如果传入的值是id,则解析成的sql为order by "id".  2. $将传入的数据直接显示生成在sql中。如:order by $user_id$,如果传入的值是111,那么解析成sql时的值为orde...
#{}和${}的区别是什么?
qq_40826814的博客
05-15 7437
osc_kf98pg0d 2020/01/20 14:45 阅读数 3.1K 动态sql是mybatis的主要特性之一,在mapper中定义的参数传到xml中之后,在查询之前mybatis会对其进行动态解析。mybatis为我们提供了两种支持动态sql的语法:#{}以及${}。 面试题:#{}和${}的区别是什么? 1)#{}是预编译处理,$ {}是字符串替换。 2)mybatis在处理#{}时,会将sql中的#{}替换为?号,调用PreparedStatem...
mybatis中"#"和"$"的区别
weixin_33972649的博客
09-18 1187
  动态 sql 是 mybatis 的主要特性之一,在 mapper 中定义的参数传到 xml 中之后,在查询之前 mybatis 会对其进行动态解析。mybatis 为我们提供了两种支持动态 sql 的语法:#{} 以及 ${}。   在下面的语句中,如果 username 的值为 zhangsan,则两种方式无任何区别:    select * from user where na...
#{}和${}区别
qq_42864793的博客
02-06 8085
#{}实现的是向prepareStatement中的预处理语句中设置参数值,sql语句中#{}表示一个占位符即? 使用#{参数名},将参数的内容添加到sql语句中指定位置. 如果当前sql语句中只有一个参数,此时参数名称可以随意定义 但是,如果当前sql语句有多个参数,此时参数名称应该是与当前表关联[实体类的属性名]或则[Map集合关键字] 上述SQL语句在调用时,我们可以分别采用如下两种方...
IDEA使用指北
热门推荐
时间静止
07-20 1万+
总结下这段时间工作使用IDEA的一些心得和体会, 希望能够在让自己更加熟悉IDEA的同时也能够帮助别人
MyBatis面试精华:#{与}$区别、XML映射标签详解及Dao接口原理
在MyBatis面试中,面试官可能会关注候选人的基础知识掌握情况,特别是在SQL查询语言的使用和XML映射文件的理解上。以下是一些关键知识点: 1. **#{}和${}的区别**: - `${}` 是Java Properties文件中的变量占位符...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

时间静止不是简史

感谢你的肯定, 我将继续努力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值