您的位置:首页 > 新闻 > 会展 > Java面试八股之myBatis中#{}和${}标识的区别是什么

Java面试八股之myBatis中#{}和${}标识的区别是什么

2024/12/25 9:51:25 来源:https://blog.csdn.net/u012151345/article/details/139806885  浏览:    关键词:Java面试八股之myBatis中#{}和${}标识的区别是什么
  1. myBatis中#{}和${}标识的区别是什么

MyBatis中的#{}和${}都是用来动态地向SQL语句中插入参数的,但它们之间存在几个关键的区别:

预编译与字符串替换:

#{}是预编译处理的参数占位符。MyBatis会将#{}中的内容替换为一个预编译语句的参数标记(通常是一个问号?),并在执行SQL前通过PreparedStatement将实际参数值安全地绑定到这个占位符上。这种方式可以有效防止SQL注入攻击,因为参数值会被正确转义。

${}则是简单的字符串替换。MyBatis会在SQL语句被发送到数据库之前,直接将${}中的内容替换为参数的实际值,不做任何转义处理。这意味着${}用法容易受到SQL注入攻击。

安全性:

使用#{}更安全,因为它通过预编译参数防止了SQL注入。

${}由于直接拼接到SQL中,不提供任何防护措施,如果参数来源于用户输入,可能会导致严重的安全问题。

数据类型处理:

#{}会根据参数的类型自动处理,比如字符串会自动加上单引号,数值类型则直接作为数值处理,无需手动添加引号。

${}不会自动处理数据类型,替换后的内容原样插入到SQL中,因此需要手动处理引号等问题。

适用场景:

#{}适用于大部分情况,尤其是需要安全地传递参数时。

${}主要用于非动态查询部分,比如表名、列名等静态SQL片段,或者是在完全确定安全的情况下进行一些特殊处理,但这种用法需要非常谨慎。

示例:

SELECT * FROM users WHERE username = #{username}; // 安全,适用于参数值。

SELECT * FROM ${tableName} WHERE id = #{id}; // 若tableName由程序控制且可信,可用于动态指定表名。

总的来说,#{}推荐用于所有需要传递参数值的情况,以确保安全性和正确的数据处理,而${}应谨慎使用,并且仅在确定不会引起SQL注入风险时用于字符串替换。

  如果大家需要视频版本的讲解,欢迎关注我的B站:

版权声明:

本网仅为发布的内容提供存储空间,不对发表、转载的内容提供任何形式的保证。凡本网注明“来源:XXX网络”的作品,均转载自其它媒体,著作权归作者所有,商业转载请联系作者获得授权,非商业转载请注明出处。

我们尊重并感谢每一位作者,均已注明文章来源和作者。如因作品内容、版权或其它问题,请及时与我们联系,联系邮箱:809451989@qq.com,投稿邮箱:809451989@qq.com