#{} 和 ${} 的区别是什么?

Parker
  2024-03-14 14:57:49 2024-03-14 14:57:49 创建   2024-03-14 15:09:33 2024-03-14 15:09:33 更新      473 字  1 分钟  

区别

经常碰到这样的面试题目:#{}${}的区别是什么?

正确的答案是:#{}是预编译处理,${}是字符串替换。

内部原理

  1. mybatis在处理#{}时,会将sql中的#{}替换为?号,调用PreparedStatement的set方法来赋值。
  2. mybatis在处理${}时,就是把${}替换成变量的值。
  3. 使用#{}可以有效的防止SQL注入,提高系统安全性。原因在于:预编译机制。预编译完成之后,SQL的结构已经固定,即便用户输入非法参数,也不会对SQL的结构产生影响,从而避免了潜在的安全风险。
  4. 预编译是提前对SQL语句进行预编译,而其后注入的参数将不会再进行SQL编译。我们知道,SQL注入是发生在编译的过程中,因为恶意注入了某些特殊字符,最后被编译成了恶意的执行操作。而预编译机制则可以很好的防止SQL注入。

记忆方式

$符号一般用来当作占位符,常使用Linux脚本的人应该对此有更深的体会。

例如:$1,$2等等表示输入参数的占位符。

知道了这点就能很容易区分$和#,从而不容易记错了。

两种替换符存在的意义

既然${}会引起sql注入,为什么有了#{}还需要有${}呢?那其存在的意义是什么?

可以这么去理解:#{}主要用于预编译,而预编译的场景其实非常受限,而${}用于替换,很多场景会出现替换,而这种场景是不可预编译,例如:MyBatis XML配置对抗MyBatis注解的一大杀器:SQL片段,抽取可重用的SQL语句

参考

评论
此页目录
#{} 和 ${} 的区别是什么?
  1. 区别
  2. 内部原理
  3. 记忆方式
  4. 两种替换符存在的意义
  5. 参考