${} 和 #{} 有什么区别?
The following article is from Java面试真题解析 Author 磊哥
来源丨本文转载自 Java面试真题解析(ID:aimianshi666)
作者 | 磊哥
${}
和 #{} 都是 MyBatis 中用来替换参数的,它们都可以将用户传递过来的参数,替换到 MyBatis 最终生成的 SQL 中,但它们区别却是很大的,接下来我们一起来看。
1.功能不同
${} 是将参数直接替换到 SQL 中,比如以下代码:
<select id="getUserById" resultType="com.example.demo.model.UserInfo">
select * from userinfo where id=${id}
</select>
最终生成的执行 SQL 如下:
<select id="getUserById" resultType="com.example.demo.model.UserInfo">
select * from userinfo where id=#{id}
</select>
最终生成的 SQL 如下:
${} 的问题
当参数为数值类型时(在不考虑安全问题的前提下),${}
和 #{} 的执行效果都是一样的,然而当参数的类型为字符时,再使用 ${} 就有问题了,如下代码所示:
<select id="getUserByName" resultType="com.example.demo.model.UserInfo">
select * from userinfo where name=${name}
</select>
以上程序执行时,生成的 SQL 语句如下:${}
是直接替换,不会自动添加单引号,所以执行就报错了。而使用 #{} 采用的是占位符预执行的,所以不存在任何问题,它的实现代码如下:
<select id="getUserByName" resultType="com.example.demo.model.UserInfo">
select * from userinfo where name=#{name}
</select>
以上程序最终生成的执行 SQL 如下:
2.使用场景不同
虽然使用 #{} 的方式可以处理任意类型的参数,然而当传递的参数是一个 SQL 命令或 SQL 关键字时 #{} 就会出问题了。比如,当我们要根据价格从高到低(倒序)、或从低到高(正序)查询时,如下图所示:${}
的实现代码瑞安:
<select id="getAll" resultType="com.example.demo.model.Goods">
select * from goods order by price ${sort}
</select>
以上代码生成的执行 SQL 和运行结果如下:
<select id="getAll" resultType="com.example.demo.model.Goods">
select * from goods order by price #{sort}
</select>
以上代码生成的执行 SQL 和运行结果如下:${}
来对 SQL 中的参数进行直接替换并执行。
3.安全性不同
${}
和 #{} 最主要的区别体现在安全方面,当使用 ${}
会出现安全问题,也就是 SQL 注入的问题,而使用 #{} 因为是预处理的,所以不会存在安全问题,我们通过下面的登录功能来观察一下二者的区别。
3.1 使用 ${} 实现用户登录
UserMapper.xml 中的实现代码如下:
<select id="login" resultType="com.example.demo.model.UserInfo">
select * from userinfo where name='${name}' and password='${password}'
</select>
单元测试代码如下:
@Test
void login() {
UserInfo userInfo = userMapper.login("java", "java");
System.out.println(userInfo);
}
以上代码生成的执行 SQL 和运行结果如下:${}
时,当我们在不知道正确密码的情况下,使用 SQL 注入语句也能用户的私人信息,SQL 注入的实现代码如下:
@Test
void login() {
UserInfo userInfo = userMapper.login("java", "' or 1='1");
System.out.println(userInfo);
}
以上代码生成的执行 SQL 和运行结果如下:
3.2 使用 #{} 实现用户登录
首先将 UserMapper.xml 中的代码改成以下内容:
<select id="login" resultType="com.example.demo.model.UserInfo">
select * from userinfo where name=#{name} and password=#{password}
</select>
接着我们使用上面的 SQL 注入来测试登录功能:
@Test
void login() {
UserInfo userInfo = userMapper.login("java", "' or 1='1");
System.out.println(userInfo);
}
最终生成的 SQL 和执行结果如下:
总结
${}
和 #{} 都是 MyBatis 中用来替换参数的,它们二者的区别主要体现在:1、功能不同:${}
是直接替换,而 #{} 是预处理;2、使用场景不同:普通参数使用 #{},如果传递的是 SQL 命令或 SQL 关键字,需要使用 ${}
,但在使用前一定要做好安全验证;3、安全性不同:使用 ${}
存在安全问题,而 #{} 则不存在安全问题。
4、阿里云面试:为什么建议使用 BigDecimal 进行浮点数运算?
点分享
点点赞
点在看