一个工作 2 年的粉丝,被问到一个 Mybatis 里面的基础问题。
他跑过来调戏我,说浮生老师,你要是能把这个问题回答到一定高度,请我和一个月奶茶。
这个问题是:
”Mybatis 里面#{}和${}的区别是什么“
下面看看高手对这个问题的回答。
一、问题解析
首先,Mybatis 提供到的#号占位符和$号占位符,都是实现动态 SQL 的一种方式,通过这两种方式把参数传递到 XML 之后,在执行操作之前,Mybatis 会对这两种占位符进行动态解析。
(如图)#号占位符,等同于 jdbc 里面的?号占位符。
它相当于向 PreparedStatement 中的预处理语句中设置参数,而 PreparedStatement 中的 sql 语句是预编译的,SQL 语句中使用了占位符,规定了sql 语句的结构。并且在设置参数的时候,如果有特殊字符,会自动进行转义。所以#号占位符可以防止 SQL 注入。
(如图)而使用$的方式传参,相当于直接把参数拼接到了原始的 SQL 里面,Mybatis
不会对它进行特殊处理。
所以$和#最大的区别在于,前者是动态参数,后者是占位符, 动态参数无法防止 SQL注入的问题,所以在实际应用中,应该尽可能的使用#号占位符。另外,$符号的动态传参,可以适合应用在一些动态 SQL 场景中,比如动态传递表名、动态设置排序字段等。
以上就是我对这个问题的理解。
?二、问题总结
一些小的细节如果不注意,就有可能造成巨大的经济损失。比如现如今还是会有一些网站出现 SQL 注入导致信息泄露的问题。好的,高手面试系列的文章就到这里结束了。如果有任何面试问题、职业发展问题、学习问题,都可以私信我。
我是 浮生,一个工作了 14 年的 Java 程序员,咱们下期再见。
三、粉丝福利
最近很多同学问我有没有java学习资料,我根据我从小白到架构师多年的学习经验整理出来了一份 50W字面试解析文档、简历模板、学习路线图、java必看学习书籍 、 需要的小伙伴 可以关注我的
公众号:“ 灰灰聊架构 ”, 回复暗号:“ 321 ”即可获取
?