Mybatis中 #{}和${}的区别
2019.11.01 杭州的一个面试,有问道这个问题:java
讲一下Mybatis中 #{}和${}的区别?面试
状况一:只用 #{}
<select id="getUserByNameAndPsw" resultType="com.hotel3.model.User"> select * from USER where userName=#{userName} and userPassword =#{userPassword}; </select>
结果:
==> Preparing: select * from USER where userName=? and userPassword =?; ==> Parameters: mww(String), 123(String) <== Total: 1
结论:
#{}会在预编译期,生成两个 ?,做为占位符。sql
状况二:一个用 ${} 一个用 #{}
<select id="getUserByNameAndPsw" resultType="com.hotel3.model.User"> select * from USER where userName=${userName} and userPassword =#{userPassword}; </select>
结果:
==> Preparing: select * from USER where userName=mww and userPassword =?; ==> Parameters: 123(String)
结论:很显然 ${} 是直接拼成字符串的 ,#{} 是生成 ?占位符的。
并且 由于 userName:mww 是字符串,因此 这种写法显然也是错误的。安全
会报出以下错误:app
### Error querying database. Cause: java.sql.SQLSyntaxErrorException: Unknown column 'mww' in 'where clause'
因此正确的写法是这样的:为字符串字段加上单引号 ' 'spa
<select id="getUserByNameAndPsw" resultType="com.hotel3.model.User"> select * from USER where userName='${userName}' and userPassword =#{userPassword}; </select>
结果:code
==> Preparing: select * from USER where userName='mww' and userPassword =?; ==> Parameters: 123(String) <== Total: 1
结论:显然这种写法是正确的,从这里能够看出,预编译期 ${} 是直接把参数拼结到SQL中,xml
运行时,就只传入了一个 #{} 修饰的参数。blog
${}的这种写法还有一个安全隐患,那就是 SQL注入。字符串
状况三: ${} SQL注入:
<select id="getUserByNameAndPsw" resultType="com.hotel3.model.User"> select * from USER where userName='${userName}' and userPassword =#{userPassword}; </select>
结果:
==> Preparing: select * from USER where userName='' OR 1=1 OR '' and userPassword =?; ==> Parameters: 65787682342367(String) <== Total: 2
结论:只要咱们在 ${} 输入 ' OR 1=1 OR ' 不管后面的密码输入什么均可以,查询到数据,这种状况就是SQL注入。
状况四:#{} 防止SQL注入
<select id="getUserByNameAndPsw" parameterType="map" resultType="com.hotel3.model.User"> select * from USER where userName=#{userName} and userPassword =#{userPassword}; </select>
结果:
==> Preparing: select * from USER where userName=? and userPassword =?; ==> Parameters: ' OR 1=1 OR '(String), 123(String) <== Total: 0
结论:上面预编译SQL的参数已经由占位符 { ?} 代替,因此传入的 ' OR 1=1 OR ' 只会做为 userName字段的值,
而不会拼入执行的SQL。这样就达到了防止SQL注入的目的。
在这种用法中, #{} 显然比 ${} 用法更好。
那 ${} 为何常常在 Mybatis 使用那?
${}正确用法(我的看法):
一、同时传入一个字段名和字段值:
User u=userService.getUserByNameAndPsw("userName,userType,userPassword",userName,userPassword);
SQL: select ${arg0} from USER
<select id="getUserByNameAndPsw" resultType="com.hotel3.model.User"> select ${arg0} from USER where userName=#{userName} and userPassword =#{userPassword}; </select>
结果:
==> Preparing: select userName,userType,userPassword from USER where userName=? and userPassword =?; ==> Parameters: mww(String), 123(String) <== Total: 1
结论:
生成了咱们想要SQL语句 :select userName,userType,userPassword from USER。。。。
二、传入两个字段名和字段值:
User u=userService.getUserByNameAndPsw("userName,userType,userPassword",userName,userName,userPassword);
SQL: select ${arg0} from USER where ${arg1}=#{userName}
<select id="getUserByNameAndPsw" resultType="com.hotel3.model.User"> select ${arg0} from USER where ${arg1}=#{userName} and userPassword =#{userPassword}; </select>
结果:
==> Preparing: select userName,userType,userPassword from USER where userName=? and userPassword =?; ==> Parameters: mww(String), 123(String) <== Total: 1
结论:
按照传参的顺序匹配 SQL 中的 ${arg0},${arg1}。。。
生成咱们想要的代码,但这个方式会使Mybatis 的 Mapper 文件可读性变差,
若是不看其余的代码,很难辨别 ${arg0} ,${arg1} 表明的含义。
三、使用Map传值,提升 Mapper 文件的可读性
Map map =new HashMap(); map.put("selectValues","userName,userType,userPassword"); map.put("userNamefieId","userName"); map.put("userName",userName); map.put("userPassword",userPassword); User u=userService.getUserByNameAndPsw(map);
Mapper 文件的 xml
<select id="getUserByNameAndPsw" parameterType="map" resultType="com.hotel3.model.User"> select ${selectValues} from USER where ${userNamefieId}=#{userName} and userPassword =#{userPassword}; </select>
结果:
==> Preparing: select userName,userType,userPassword from USER where userName=? and userPassword =?; ==> Parameters: mww(String), 123(String) <== Total: 1
结论:
结果和arg0、arg1的传值方式相同,但 Mapper 文件的 xml 中的SQL语句能够
经过对 map 中 key 值命名提升可读性。
注:以上SQL,均为预编期生成的SQL。
注2:${} 每次传值不一样 SQL 语句不一样,能够灵活生成 SQL,
但每次都须要进行预编译,对效率会有影响,至于要不要使用 ${}还要具体状况具体分析。
确定还有 ${} 其余的用法,欢迎留言评论,共同探讨,待续。。。。
- 1. mybatis中的#和$的区别
- 2. mybatis中的#{}和${}的区别
- 3. Mybatis中的$和#的区别
- 4. MyBatis 中的#和$的区别
- 5. Mybatis中的 ${ } 和 #{ }的区别
- 6. Mybatis中的#和$的区别
- 7. Mybatis中#{} 和 ${}区别
- 8. MyBatis中#{ }和${ }的区别
- 9. mybatis中#{}和${}的区别
- 10. mybatis中#和$的区别
- 更多相关文章...
- • Spring中Bean的作用域 - Spring教程
- • 现实生活中的 XML - XML 教程
- • C# 中 foreach 遍历的用法
- • 适用于PHP初学者的学习线路和建议
-
每一个你不满意的现在,都有一个你没有努力的曾经。
- 1. Duang!超快Wi-Fi来袭
- 2. 机器学习-补充03 神经网络之**函数(Activation Function)
- 3. git上开源maven项目部署 多module maven项目(多module maven+redis+tomcat+mysql)后台部署流程学习记录
- 4. ecliple-tomcat部署maven项目方式之一
- 5. eclipse新导入的项目经常可以看到“XX cannot be resolved to a type”的报错信息
- 6. Spark RDD的依赖于DAG的工作原理
- 7. VMware安装CentOS-8教程详解
- 8. YDOOK:Java 项目 Spring 项目导入基本四大 jar 包 导入依赖,怎样在 IDEA 的项目结构中导入 jar 包 导入依赖
- 9. 简单方法使得putty(windows10上)可以免密登录树莓派
- 10. idea怎么用本地maven