${}
和 #{} 都是 MyBatis 中用来替换参数的,它们都能够将用户传递过去的参数,替换到 MyBatis 最终生成的 SQL 中,但它们区别却是很大的,接下来咱们一起来看。
1. 性能不同
${} 是将参数间接替换到 SQL 中,比方以下代码:
<select id="getUserById" resultType="com.example.demo.model.UserInfo">
select * from userinfo where id=${id}
</select>
最终生成的执行 SQL 如下:
从上图能够看出,之前的参数 ${id} 被间接替换成具体的参数值 1 了。
而 #{} 则是应用占位符的形式,用预处理的形式来执行业务,咱们将下面的案例革新为 #{} 的模式,实现代码如下:
<select id="getUserById" resultType="com.example.demo.model.UserInfo">
select * from userinfo where id=#{id}
</select>
最终生成的 SQL 如下:
${} 的问题
当参数为数值类型时(在不思考平安问题的前提下),${}
和 #{} 的执行成果都是一样的,然而当参数的类型为字符时,再应用 ${} 就有问题了,如下代码所示:
<select id="getUserByName" resultType="com.example.demo.model.UserInfo">
select * from userinfo where name=${name}
</select>
以上程序执行时,生成的 SQL 语句如下:
这样就会导致程序报错,因为传递的参数是字符类型的,而在 SQL 的语法中,如果是字符类型须要给值增加单引号,否则就会报错,而 ${}
是间接替换,不会主动增加单引号,所以执行就报错了。
而应用 #{} 采纳的是占位符预执行的,所以不存在任何问题,它的实现代码如下:
<select id="getUserByName" resultType="com.example.demo.model.UserInfo">
select * from userinfo where name=#{name}
</select>
以上程序最终生成的执行 SQL 如下:
2. 应用场景不同
尽管应用 #{} 的形式能够解决任意类型的参数,然而当传递的参数是一个 SQL 命令或 SQL 关键字时 #{} 就会出问题了。比方,当咱们要依据价格从高到低(倒序)、或从低到高(正序)查问时,如下图所示:
此时咱们要传递的排序的关键字,desc 倒序(价格从高到低)或者是 asc 正序(价格从低到高),此时咱们应用 ${}
的实现代码瑞安:
<select id="getAll" resultType="com.example.demo.model.Goods">
select * from goods order by price ${sort}
</select>
以上代码生成的执行 SQL 和运行后果如下:
然而,如果将代码中的 ${} 改为 #{},那么程序执行就会报错,#{} 的实现代码如下:
<select id="getAll" resultType="com.example.demo.model.Goods">
select * from goods order by price #{sort}
</select>
以上代码生成的执行 SQL 和运行后果如下:
从上述的执行后果咱们能够看出:当传递的是一般参数时,须要应用 #{} 的形式,而当传递的是 SQL 命令或 SQL 关键字时,须要应用 ${}
来对 SQL 中的参数进行间接替换并执行。
3. 安全性不同
${}
和 #{} 最次要的区别体现在平安方面,当 应用 ${}
会呈现平安问题,也就是 SQL 注入的问题,而应用 #{} 因为是预处理的,所以不会存在平安问题,咱们通过上面的登录性能来察看一下二者的区别。
3.1 应用 ${} 实现用户登录
UserMapper.xml 中的实现代码如下:
<select id="login" resultType="com.example.demo.model.UserInfo">
select * from userinfo where name='${name}' and password='${password}'
</select>
单元测试代码如下:
@Test
void login() {UserInfo userInfo = userMapper.login("java", "java");
System.out.println(userInfo);
}
以上代码生成的执行 SQL 和运行后果如下:
从后果能够看出,当咱们传入了正确的用户名和明码时,能胜利的查问到数据。然而,在咱们应用 ${}
时,当咱们在不晓得正确明码的状况下,应用 SQL 注入语句也能用户的私人信息,SQL 注入的实现代码如下:
@Test
void login() {UserInfo userInfo = userMapper.login("java", "'or 1='1");
System.out.println(userInfo);
}
以上代码生成的执行 SQL 和运行后果如下:
从上述后果能够看出,当应用 ${} 时,在不晓得正确明码的状况下也能失去用户的私人数据,这就像一个小偷在没有你们家钥匙的状况下,也能轻松的关上你们家大门一样,这是何其恐怖的事件。那应用 #{} 有没有平安问题呢?接下来咱们来测试一下。
3.2 应用 #{} 实现用户登录
首先将 UserMapper.xml 中的代码改成以下内容:
<select id="login" resultType="com.example.demo.model.UserInfo">
select * from userinfo where name=#{name} and password=#{password}
</select>
接着咱们应用下面的 SQL 注入来测试登录性能:
@Test
void login() {UserInfo userInfo = userMapper.login("java", "'or 1='1");
System.out.println(userInfo);
}
最终生成的 SQL 和执行后果如下:
从上述代码能够看出,应用 SQL 注入是无奈攻破 #{} 的“大门”的,所以能够放心使用。
总结
${}
和 #{} 都是 MyBatis 中用来替换参数的,它们二者的区别次要体现在:1、性能不同:${}
是间接替换,而 #{} 是预处理;2、应用场景不同:一般参数应用 #{},如果传递的是 SQL 命令或 SQL 关键字,须要应用 ${}
,但在应用前肯定要做好平安验证;3、安全性不同:应用 ${}
存在平安问题,而 #{} 则不存在平安问题。
是非审之于己,毁誉听之于人,得失安之于数。
公众号:Java 面试真题解析
面试合集:https://gitee.com/mydb/interview