MyBatis常见面试题1:精讲#{}和${}的区别是什么
原文链接:
http://www.mybatis.cn/archives/70.html
经常碰到这样的面试题目:#{}和${}的区别是什么?
正确的答案是:#{}是预编译处理,${}是字符串替换。
备注:${}是插值,插值的新认识见:http://www.mybatis.cn/archives/653.html
(1)mybatis在处理#{}时,会将sql中的#{}替换为?号,调用PreparedStatement的set方法来赋值。
(2)mybatis在处理${}时,就是把${}替换成变量的值。
(3)使用#{}可以有效的防止SQL注入,提高系统安全性。原因在于:预编译机制。预编译完成之后,SQL的结构已经固定,即便用户输入非法参数,也不会对SQL的结构产生影响,从而避免了潜在的安全风险。
(4)预编译是提前对SQL语句进行预编译,而其后注入的参数将不会再进行SQL编译。我们知道,SQL注入是发生在编译的过程中,因为恶意注入了某些特殊字符,最后被编译成了恶意的执行操作。而预编译机制则可以很好的防止SQL注入。
补充1:
$符号一般用来当作占位符,常使用Linux脚本的人应该对此有更深的体会吧。例如:$1,$2等等表示输入参数的占位符。知道了这点就能很容易区分$和#,从而不容易记错了。
补充2:
万事洞明皆学问,对于mybatis与sql这两门技术而言,看似简单,但是深挖进去会发现里面的东西还是挺多的。要想成为一名合格的开发人员,需要不断的去学习,更需要不断的去思考。可以参考:http://www.mybatis.cn/category/mysql-mybatis/,系统的学习sql和mybatis的东西,这是本站2019年计划出版的小册子,欢迎试读。
补充3:
有网友提问:既然${}会引起sql注入,为什么有了#{}还需要有${}呢?那其存在的意义是什么?
可以这么去理解:#{}主要用于预编译,而预编译的场景其实非常受限,而${}用于替换,很多场景会出现替换,而这种场景可不是预编译,
例如:MyBatis XML配置对抗MyBatis注解的一大杀器:SQL片段,抽取可重用的SQL语句
MyBatis插值${}的新认识
1、插值的定义
2、FreeMarker中的插值
在freemarker模板语言中,插值${…}将使用数据模型中的部分替代输出。
3、Scala中的插值
Scala有一个很方便的特性:字符串插值。字符串插值能在字符串的字面量中内嵌变量和表达式。如下代码所示:
object Clock {def main(args: Array[String]){var n : Int = 1while( n <= 60 ){println(s"${n} second.")n += 1}}}
在这段代码中,字符串字面量 s”${n} second.”中直接使用了变量n。而在Java中,通常需要使用显式的连接操作,比如:n + “ second.”,才能达到同样的效果。
3、MyBatis中的插值
${}是字符串替换,往往与#{}相混淆,而#{}是预编译处理命令。#{}多用于命令场景,同理,#{}在FreeMarker中表示FreeMarker指令,即FTL指令。
若有收获,就点个赞吧
0 人点赞
