初来乍到,请各位多多关照。
最近在面试Java开发,打算抽空整理下面试题,希望对正在面试或者即将面试的亲们有作用,目前是每个题单独列出,整体的面试还没有整理好,如果各位有补充的或者发现我描述的有错误的话,麻烦在评论区指出下,谢谢!
本文主要是说明Mybatis中"#"和"$"的区别:
动态 SQL作为 Mybatis 的主要特性之一,在 mapper 中定义的参数传到 xml 中之后,在查询之前 Mybatis 会对其进行动态解析。我们可以知道,Mybatis 为我们提供了两种支持动态 SQL的语法:#{} 以及 ${}。
但是 #{} 和 ${} 在预编译中的处理是不一样的。
一、#{}
(1)#{} 在预处理时,会把参数部分用一个占位符 ? 代替。
(2)#{} 的参数替换是发生在 DBMS 中。
二、${}
(1)${} 只是简单的字符串替换,在动态解析阶段,SQL语句一般会被解析成替换了具体字符串后的SQL语句。
(2)${} 则发生在动态解析过程中,预编译之前的 SQL 语句已经不包含变量了,完全已经是常量数据了。
三、总结
${}方式在动态解析过程中就会被替换,会引发sql注入的问题,同时也会影响sql语句的预编译,所以从安全性和性能的角度出发,能使用#{}的情况下就不要使用${}。
谢谢!