JAVA面试题:Mybatis中使用${}和#{}的区别

最新推荐文章于 2024-08-18 21:36:31 发布
最新推荐文章于 2024-08-18 21:36:31 发布
阅读量211 收藏 4
点赞数 9
分类专栏: Java面试题 文章标签: java mybatis 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_58856455/article/details/141030192
版权

一、先说结论

在使用 MyBatis 进行数据库操作时,`#{} 用于参数绑定,会生成预处理语句,使用 ? 占位符,可以防止 SQL 注入;而 ${} 是直接字符串替换,会将参数值直接嵌入到 SQL 语句中,无法防止 SQL 注入,要谨慎使用。

二、#{}使用案例

  • #{} 是 MyBatis 的一种语法,用于将参数值绑定到 SQL 语句中,并使用 ?` 作为占位符。 它能够防止 SQL 注入,
  • MyBatis 会将参数值作为绑定变量传递给数据库驱动程序,该驱动程序会对参数进行适当的转义处理。
<select id="selectStudentById" parameterType="int" resultType="Student">
    SELECT * FROM Students WHERE id = #{id}
</select>

在这个例子中,#{id} 会被替换为一个 ? 占位符,并且实际的参数值会被安全地绑定到 SQL 语句中。 

三、${}使用案例

  • ${} 是 MyBatis 的另一种语法,用于直接将参数值嵌入到 SQL 语句中。
  • 它不会进行预处理,也不会使用 ? 占位符,而是直接将参数值插入到 SQL 语句中。
  • 由于直接将参数值嵌入到 SQL 中,因此不能防止 SQL 注入,需要非常小心使用。
<select id="selectStudentById" parameterType="int" resultType="Student">
    SELECT * FROM Students WHERE id = ${id}
</select>

在这个例子中,${name} 会被直接替换为参数值,如果参数值包含恶意的 SQL 代码,就有可能导致 SQL 注入。

Blaise Lin
关注
  • 9
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
10万字总结java面试题和答案
05-16
Java 10万字总结java面试题和答案 其包含的内容模块有:基础、JVM、多线程与高并发、Spring、MyBatis、SpringBoot、MYSQL、SpringCloud、Dubbo、Nginx、MQ、数据结构与算法、Linux、Zookeeper、Redis、分布式、网络...
java面试题java基础,javaweb,spring,springmvc,mybatis
10-19
Java 面试题相关知识点总结 Java 是一种广泛应用于软件开发的高级编程语言,以下是 Java 面试题相关知识点总结: 一、Java 基础部分 1. Java 源文件是否可以包括多个类?可以,但是只能有一个 public 类,其他...
面试题mybatis# 和 $ 的区别
weixin_43950588的博客
06-23 573
面试题mybatis# 和 $ 的区别
面试题Mybatis $ 和 # 的区别
热门推荐
no problem的博客
04-18 1万+
前言: 能看到这里的各位,想必都是java程序员吧,面试的时候估计大部分的人,都会从面试官口听到这个面试问题吧? 你当时是怎么回答的呢?回答的自信吗?回答的让自己和面试官满意吗?是否知道怎么在自己的项目用#{}和${}符号呢? 如果以上问题你都回答否的话,我想看过这篇文章可以让你回答是。 问题:请说明mybatis#和$的区别? 答: 相同点: 都能取到变量的值。 不同点: #可以实现预编译,会先把#{变量}编译成?,在执行时再取值,可以防止sql注入。 $是直接进行字符串替换。
java面试题(18):mybatis#和$的区别
u013938578的博客
01-05 440
默认情况下,使用#{}格式的语法会导致MyBatis创建预处理语句属性并以它为背景设置安全的值(比如?这样做很安全,很迅速也是首选做法,有时你只是想直接在SQL语句插入一个不改变的字符串。在mybatis#和$的主要区别是:#传入的参数在SQL显示为字符串,#方式能够很大程度防止sql注入;$传入的参数在SqL直接显示为传入的值,$方式无法防止Sql注入。#传入的参数在SQL显示为字符串(当成一个字符串),会对自动传入的数据加一个双引号。$传入的参数在SqL直接显示为传入的值。
经典重现丨面试题MyBatis的#和$有什么区别?!
威哥爱编程,一个坚持研究技术的80后老鸟,擅长后端、AI 大模型、鸿蒙等技术体系,愿与你在技术路上一起成长!
07-15 620
MyBatis支持使用${}和#{}两种符号来进行动态SQL的拼接,可能有些人没有留意到,认为${}和#{}的作用是差不多的,其实这两者的功能虽然相似,但区别是比较大的!用过JDBC的小伙伴可能会知道,这就跟JDBC的PrepareStatement和Statement的区别是一样的,使用`#`就相当于使用PrepareStatement,而使用`$`就相当于使用Statement。大家知道,#在SQL语句的含义是注释,#后面的SQL内容是不执行的。...
java面试题 Mybatis#和$的区别
樂小伍
10-16 1169
Mybatis#和$的区别 https://www.cnblogs.com/wslook/p/9185448.html #{}:占位符号,可以防止sql注入(替换结果会增加单引号‘’),相当于 ? 占位符 ${}:sql拼接符号(替换结果不会增加单引号‘’,like和order by后使用,存在sql注入问题,需手动代码过滤) 能使用 #{ } 的地方就用 #{ } 首先这是为了性能考虑...
大厂Java面试题MyBatis是如何进行分页的?分页插件的实现原理是什么?
wyz_1945的博客
05-06 1275
大家好,我是王有志。今天给大家带来的是一道来自京东的关于 MyBatis 实现分页功能的面试题MyBatis是如何进行分页的?
MyBatis面试题:#{}和${}的区别是什么?
GeorgeZHAN的博客
08-20 281
#{}和${}的区别是什么?
Mybatis常问:#{}与${}的区别
zjjcchina的博客
06-06 2090
查询到数据才可以是登录成功,否则表示登陆失败,但是会有这么一种情况,我们的SQL语句是由我们拼接的,如果用户故意输入可以让后台解析失败的字符串,这就是SQL注入,例如我们输入密码,输入 '''' ' or 1=1'' 这样,他会在后台进行拼接成select count(1) from table where username = 'username' and password = '' or 1=1;由结果可以看出,我们在没有密码的情况下依旧获取到了数据库的私密信息,由此可见${}存在很大的安全隐患。
java 面试题 基础 数据库 spring springmvc mybatis
12-31
Java前后开发面试题,大厂进阶之路,基于JavaGuide、Cyc大佬、牛客上的面经及王道考研相关视频,并改进了其说法矛盾或含糊之处。 包含计算机网络知识、JavaSE、JVM、Spring、Springboot、SpringCloud、Mybatis、多...
#####java面试题####
02-01
11. **框架知识**:Spring、MyBatis、Hibernate等流行框架的使用和原理也是面试常考内容,特别是Spring Boot和Spring Cloud在微服务架构的应用。 12. **其他**:还包括反射、注解、Lambda表达式、Stream API、...
java 面试题 基础 数据库 spring springmvc mybatis vue web springcloud
01-02
【一线互联网大厂Java核心面试题库】Java基础、异常、集合、并发编程、JVM、Spring全家桶、MyBatis、Redis、数据库、间件MQ、Dubbo、Linux、Tomcat、ZooKeeper、Netty等等..
手撕快排——三种实现方法(附动图及源码)
jsjs1346的博客
08-16 920
🤖💻👨‍💻👩‍💻🌟🚀🤖🌟👨‍💻👩‍💻👨‍💻👩‍💻🚀是一种高效的排序算法,广泛应用于各种场景。它采用策略,将一个数组分成两个子数组,然后递归地对这两个子数组进行排序。本文将介绍三种快速排序的实现方法,并附上相应的源码。⚙️一、快速排序的基本原理一个基准元素(pivot)分成两个子数组递归合并O(n log n)O(n log n)O(n^2)后文我们将给出优化方案O(log n)📚三、实现霍尔方法是快速排序原始版本使用的分区方法。
【Spring框架】
最新发布
m0_71941456的博客
08-18 966
Spring框架的功能远不止于此,它还包括Spring MVC、Spring Data、Spring Security等多个模块,每个模块都有其独特的应用场景。
网上商品订单转手系统bootpf
weixin_43213064的博客
08-18 478
【代码】springboot网上商品订单转手系统bootpf
旅游网站
weixin_43213064的博客
08-16 1132
【代码】springboot旅游网站
总结常见报错信息
m0_68903702的博客
08-16 350
在@Controller注解,返回的是字符串或者是字符串匹配的模板名称,即直接渲染视图,与html页面配合使用的,java后端的代码要结合html的情况进行渲染,使用model对象(或者modelandview)的数据将填充user视图的相关属性,然后展示到浏览器;而在@RestController,返回的应该是一个对象,即return一个user对象,这时,在没有页面的情况下,也能看到返回的是一个user对象对应的json字符串。情形一:若前端传入Json格式,后端使用
java面试题:mybatis的动态sql
03-02
MyBatis是一个开源的持久层框架,它可以将SQL语句与Java代码进行分离,提供了一种简单且灵活的方式来访问数据库。MyBatis的动态SQL是其强大功能之一,它允许在运行时根据条件动态生成SQL语句。 在MyBatis,动态SQL可以通过使用XML配置文件或注解来实现。以下是一些常见的动态SQL用法: 1. if语句:可以根据条件判断是否包含某个SQL片段。例如,可以根据用户输入的条件来动态生成查询语句。 2. choose、when、otherwise语句:类似于Java的switch语句,可以根据条件选择不同的SQL片段执行。 3. foreach语句:可以遍历集合或数组,并将每个元素作为参数传递给SQL语句。这在批量插入或更新数据时非常有用。 4. trim语句:可以根据条件去除或添加SQL语句的部分内容。例如,可以根据不同的条件动态生成不同的查询条件。 5. set语句:用于更新操作,可以根据条件动态生成更新的字段和值。 使用动态SQL可以使SQL语句更加灵活和可维护,减少了手动拼接SQL字符串的工作量,并且可以根据不同的需求生成不同的SQL语句。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值