java程序员面试的时候,碰上面试官问:mybatis 的#{ }和 ${} 有什么区别? 大概率你会这样回答:
1、#{}是预编译处理,${}是字符串替换.
2、MyBatis在处理#{}时,会将sql中的#{}替换为?号,调用PreparedStatement的set方法来赋值而在处理${}时,是把${}替换为变量的值。
3.使用#{}可以有效地防止SQL注入,提高系统安全性;因为一个#{}被解析为一个参数占位符,而${}仅仅为一个纯粹的String替换。
对应问题的答案,你能说出三个区别,而且在实际的开发中,你也会发现,在很多时候我们都是用#{},用${} 的机会相对比较少。但是你了解在mybatis 源代码是如何对#{}和${} 进行处理的吗?
在了解#{ } 和${} 区别之前,我们需要先来了解一下动态SQL以及动态SQL的解析过程,动态SQL 指的是事先无法预知具体的条件,需要运行时根据具体的情况动态生成SQL语句。
<select id="findUserByConditon" resultMap="userMap">
select * from t_user
<where>
<if test="id !=null">
AND id =#{id}
</if>
<if test="username !=null">
AND user_name =#{username}
</if>
</where>
</select>
若想了解mybatis 的动态SQL 的解析过程,需要从XMLLanguageDriver类的createSqlSource()方法出发进行解析,如下:
从源代码中得知Mapper SQL 配置的解析是委托给XMLScriptBuilder类来完成,XMLScriptBuilder.parseScriptNode