注:本文修订于2019年3月22日

经常碰到这样的面试题目:#{}和${}的区别是什么?

正确的答案是:#{}是预编译处理,${}是字符串替换。

(1)mybatis在处理#{}时,会将sql中的#{}替换为?号,调用PreparedStatement的set方法来赋值。

(2)mybatis在处理${}时,就是把${}替换成变量的值。

(3)使用#{}可以有效的防止SQL注入,提高系统安全性。原因在于:预编译机制。预编译完成之后,SQL的结构已经固定,即便用户输入非法参数,也不会对SQL的结构产生影响,从而避免了潜在的安全风险。

(4)预编译是提前对SQL语句进行预编译,而其后注入的参数将不会再进行SQL编译。我们知道,SQL注入是发生在编译的过程中,因为恶意注入了某些特殊字符,最后被编译成了恶意的执行操作。而预编译机制则可以很好的防止SQL注入。

最后,补充一点:

$符号一般用来当作占位符,常使用Linux脚本的人应该对此有更深的体会吧。例如:$1,$2等等表示输入参数的占位符。知道了这点就能很容易区分$和#,从而不容易记错了。

万事洞明皆学问,对于mybatis与sql这两门技术而言,看似简单,但是深挖进去会发现里面的东西还是挺多的。要想成为一名合格的开发人员,需要不断的去学习,更需要不断的去思考。可以参考:http://www.mybatis.cn/category/mysql-mybatis/,系统的学习sql和mybatis的东西,这是本站2019年计划出版的小册子,欢迎试读。

标签: none

(一)网站基金来源:

2019年本站VIP服务,收徒公告:>>>>>>


(二)入群须知:

凡是加入我群者,皆要严守群规,每周日是群规反思日。群规的要义有两点∶

(1)坚持系统化的学习方式,由量变到质变。仅仅解决工作中的问题,并不叫系统化的学习。

(2)坚持以价值为导向的学习方式,扔掉低价值知识[配置、调参、安装],聚焦高价值知识[结构、算法、优化],推动量变到质变的进程。

已有 4 条评论

  1. 刘小黑 刘小黑

    这个也是我的疑问,正好看到,谢谢了

  2. 刘大黑 刘大黑

    谢谢啦,讲的很明白。

  3. 刘中黑 刘中黑

    加油

  4. 刘哪黑 刘哪黑

    受教了

添加新评论