您当前的位置:首页 > 电脑百科 > 程序开发 > 框架

Mybatis#{}与${}的区别

时间:2023-06-06 14:22:38  来源:  作者:尚硅谷教育

MyBatis是一款优秀的开源持久层框架,支持自定义SQL查询、存储过程和高级映射,相信很多小伙伴都在使用。在MyBatis中,我们可以在XML中编写SQL语句,然后绑定到JAVA方法中,通过参数和结果集的自动映射来实现复杂的查询逻辑。MyBatis消除了几乎所有JDBC操作和手动绑定参数操作,使用起来非常方便!因此MyBatis也同样是面试官常问的知识模块之一,其中MyBatis中#{}与${}的区别就是其中经典的面试题,接下来这,我们就进行展开,详细进行介绍其中的区别。

一、简单解答

#{}:Mybatis中#传递参数底层使用PreparedStatement对象,使用占位符方式,相对安全。

${}:Mybatis中$传递参数底层使用Statement对象,字符串拼接方式,相对不安全。

以上就是MyBatis中#{}与${}的区别,当面试官问到时,回答以上内容一般就OK了。当然如果面试官问到PreparedStatement和Statement又什么区别,那就:

Statement:底层传递SQL参数时,使用拼接SQL方式,存在SQL注入安全隐患.

PreparedStatement:底层传递SQL参数时,使用?【占位符】方式,相对安全。

可能有人会问什么是SQL注入?我们举一个简单的例子,比如我们简单的登录注册功能,输入账号和密码,我们调用SQL语句 select count(1) from table where username = 'username' and password = 'password'。查询到数据才可以是登录成功,否则表示登陆失败,但是会有这么一种情况,我们的SQL语句是由我们拼接的,如果用户故意输入可以让后台解析失败的字符串,这就是SQL注入,例如我们输入密码,输入 '''' ' or 1=1'' 这样,他会在后台进行拼接成select count(1) from table where username = 'username' and password = '' or 1=1;相当于后面拼接了一个恒为true的条件。因此它的查询结果一定是成立的,不需要输入密码就成功了,我们会在下面的案例中详细展示此条件。

二、区别详情展示

上面只是简单的对MyBatis中#{}与${}的区别一个介绍,以应付面试官为主,接下来我们详细进行他们区别的展示,大家进行深入理解。

我们先进行环境的准备:

首先是pom的依赖:

<dependencies>

<!--导入MyBatis的jar包-->

<dependency>

<groupId>org.mybatis</groupId>

<artifactId>mybatis</artifactId>

<version>3.5.6</version>

</dependency>

<!-- MySQL驱动包-->

<!-- https://mvnrepository.com/artifact/mysql/mysql-connector-java -->

<dependency>

<groupId>mysql</groupId>

<artifactId>mysql-connector-java</artifactId>

<version>8.0.16</version>

</dependency>

<!--junit-->

<dependency>

<groupId>junit</groupId>

<artifactId>junit</artifactId>

<version>4.12</version>

<scope>test</scope>

</dependency>

<!--log4j-->

<dependency>

<groupId>log4j</groupId>

<artifactId>log4j</artifactId>

<version>1.2.17</version>

</dependency>

</dependencies>

数据库的配置信息:db.properties(以自己的实际为准)

#key=value

db.username=root

db.password=123456

db.url=jdbc:mysql://localhost:3306/could2021?serverTimezone=Asia/ShanghAI

db.driver=com.mysql.cj.jdbc.Driver

mybatis的核心配置文件:mybatis-config.xml

<?xml version="1.0" encoding="UTF-8" ?>

<!DOCTYPE configuration

PUBLIC "-//mybatis.org//DTD Config 3.0//EN"

"http://mybatis.org/dtd/mybatis-3-config.dtd">

<configuration>

<properties resource="db.properties"></properties>

<settings>

<setting name="mapUnderscoreToCamelCase" value="true"/>

<!-- 开启延迟加载 -->

<setting name="lazyLoadingEnabled" value="true"/>

<!-- 设置加载的数据是按需加载-->

<setting name="aggressiveLazyLoading" value="false"/>

<!-- 开启二级缓存-->

<setting name="cacheEnabled" value="true"/>

</settings>

<typeAliases>

<package name="ssm.pojo"/>

</typeAliases>

<environments default="development">

<!-- 设置连接数据库环境-->

<environment id="development">

<transactionManager type="JDBC"/>

<dataSource type="POOLED">

<property name="driver" value="${db.driver}"/>

<property name="url" value="${db.url}"/>

<property name="username" value="${db.username}"/>

<property name="password" value="${db.password}"/>

</dataSource>

</environment>

</environments>

<mAppers>

<!-- 设置映射文件路径-->

<mapper resource="mapper/EmployeeMapper.xml"/>

<mapper resource="mapper/UserMapper.xml"/>

</mappers>

</configuration>

环境的准备工作我们做好了,接下来我们来探究吧。

1.1本质区别

上文说了:#{}使用占位符方式;${}是字符串的拼接,接下来我们以代码为例,进行详细介绍:

#{}是使用占位符的方式,用预处理的方式,如一下代码:

SELECT id,last_name,email,salary,dept_id

FROM tbl_employee WHERE id = #{id}

最终生成的SQL语句如下:

DEBUG 02-13 11:27:12,141 ==> Preparing: SELECT id,last_name,email,salary,dept_id FROM tbl_employee WHERE id = ? (BaseJdbcLogger.java:137)

DEBUG 02-13 11:27:12,162 ==> Parameters: 1(Integer) (BaseJdbcLogger.java:137)

DEBUG 02-13 11:27:12,179 <== Total: 1 (BaseJdbcLogger.java:137)

Employee{id=1, lastName='lalal', email='chengcheng@163.com', salary=100000.0, dept=null}

显而易见,#{}是通过占位符的方式进行拼接的。

接下来我们再看${},它是通过字符串拼接,将参数拼接到SQL语句中,具体如下所示:

SELECT id,last_name,email,salary,dept_id

FROM tbl_employee WHERE id = ${id}

最终生成的SQL语句如下:

DEBUG 02-13 11:34:52,158 ==> Preparing: SELECT id,last_name,email,salary,dept_id FROM tbl_employee WHERE id = 1 (BaseJdbcLogger.java:137)

DEBUG 02-13 11:34:52,179 ==> Parameters: (BaseJdbcLogger.java:137)

DEBUG 02-13 11:34:52,197 <== Total: 1 (BaseJdbcLogger.java:137)

Employee{id=1, lastName='lalal', email='chengcheng@163.com', salary=100000.0, dept=null}

显而易见,使用${},将我们的参数拼接到了SQL语句中。

我们可以看出,当参数为整数类型时(不考虑安全问题的前提下),${}与#{}的执行效果都是一样的,SQL语句都可以执行成功。

但是对于当参数的类型是字符时,使用${}就有问题了,我们先看一下使用#{}的代码:

SELECT id,last_name,email,salary,dept_id

FROM tbl_employee WHERE last_name = #{lastName}

查询结果如下所示:

DEBUG 02-13 14:21:50,285 ==> Preparing: SELECT id,last_name,email,salary,dept_id FROM tbl_employee WHERE last_name = ? (BaseJdbcLogger.java:137)

DEBUG 02-13 14:21:50,343 ==> Parameters: lalal(String) (BaseJdbcLogger.java:137)

DEBUG 02-13 14:21:50,423 <== Total: 1 (BaseJdbcLogger.java:137)

Employee{id=1, lastName='lalal', email='chengcheng@163.com', salary=100000.0, dept=null}

接下来我们再看一下${}进行操作字符的参数:

SELECT id,last_name,email,salary,dept_id

FROM tbl_employee WHERE last_name = ${lastName}

我们看一下运行此sql语句的控制台结果:

DEBUG 02-13 14:27:48,111 ==> Preparing: SELECT id,last_name,email,salary,dept_id FROM tbl_employee WHERE last_name = lalal (BaseJdbcLogger.java:137)

DEBUG 02-13 14:27:48,132 ==> Parameters: (BaseJdbcLogger.java:137)

org.Apache.ibatis.exceptions.PersistenceException:

### Error querying database. Cause: java.sql.SQLSyntaxErrorException: Unknown column 'lalal' in 'where clause'

### The error may exist in mapper/EmployeeMapper.xml

### The error may involve defaultParameterMap

### The error occurred while setting parameters

### SQL: SELECT id,last_name,email,salary,dept_id FROM tbl_employee WHERE last_name = lalal

### Cause: java.sql.SQLSyntaxErrorException: Unknown column 'lalal' in 'where clause'

由上方内容显示可以看出他把字符串的参数直接拼接到SQL语句中了。这样就会导致程序报错,因为传递的参数是字符类型的,而在 SQL 的语法中,如果是字符类型需要给值添加单引号,否则就会报错。而 ${} 是直接替换,不会自动添加单引号,所以执行就报错了。

所以,对于参数类型是字符时,#{}是没有问题的,而${}存在问题。

2.2使用场景

由上面的测试代码我们可知#{}使用占位符方式;${}是字符串的拼接。虽然使用 #{} 的方式可以处理任意类型的参数,然而当传递的参数是一个 SQL 命令或 SQL 关键字时 #{} 就会出问题了。例如我们做表做排序操作,而其中desc 倒序或者是 asc 正序的排序规则也以参数的形式传递的话,我们需要借助${}来实现,具体如下:

SELECT id,last_name,email,salary,dept_id

FROM tbl_employee order by dept_id ${sort}

以上代码生成的执行 SQL 和运行结果如下:

DEBUG 02-13 15:31:49,041 Cache Hit Ratio [ssm.mapper.EmployeeMapper]: 0.0 (LoggingCache.java:60)

DEBUG 02-13 15:31:49,771 ==> Preparing: SELECT id,last_name,email,salary,dept_id FROM tbl_employee order by dept_id desc (BaseJdbcLogger.java:137)

DEBUG 02-13 15:31:49,798 ==> Parameters: (BaseJdbcLogger.java:137)

DEBUG 02-13 15:31:49,828 <== Total: 16 (BaseJdbcLogger.java:137)

[Employee{id=10, lastName='chengcheng8', email='chengcheng@163.com', salary=100000.0, dept=null}, Employee{id=9......

但是,如果将代码中的 ${} 改为 #{},那么程序执行就会报错,#{} 的实现代码如下:

DEBUG 02-13 15:35:20,525 Cache Hit Ratio [ssm.mapper.EmployeeMapper]: 0.0 (LoggingCache.java:60)

DEBUG 02-13 15:35:21,265 ==> Preparing: SELECT id,last_name,email,salary,dept_id FROM tbl_employee order by dept_id ? (BaseJdbcLogger.java:137)

DEBUG 02-13 15:35:21,287 ==> Parameters: desc(String) (BaseJdbcLogger.java:137)

org.apache.ibatis.exceptions.PersistenceException:

### Error querying database. Cause: java.sql.SQLSyntaxErrorException: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''desc'' at line 2

由以上结果可以看出,当我们传递的是普通参数的时候,需要使用 #{}的方式,但是当传入的参数是一个 SQL 命令或 SQL 关键字时,需要使用 ${} 来对 SQL 中的参数进行直接替换并执行。

2.3安全性不同

接下来我们的重点来了,对于他们两者来说,它们两者之间最大的区别体现在安全方面,使用${}会出现安全问题,也就是SQL的注入问题,而使用 #{} 由于是预处理的,所以不会存在安全问题。大家可能好奇怎么出现的安全隐患,我们来进行测试一下:我们以用户的登录功能为例,进行两者之间的差别。

使用 ${}来实现登录功能测试

UserMapper.xml 中的实现代码如下:

<select id="login" resultType="user">

SELECT * FROM user where username='${param1}' and password='${param2}'

</select>

测试代码如下:

@Test

public void login(){

User user = userMapper.login("admin","123456");

System.out.println(user);

}

控制台运行代码如下:

DEBUG 02-13 16:18:58,930 ==> Preparing: SELECT * FROM user where username=? and password=? (BaseJdbcLogger.java:137)

DEBUG 02-13 16:18:58,953 ==> Parameters: admin(String), 123456(String) (BaseJdbcLogger.java:137)

DEBUG 02-13 16:18:58,971 <== Total: 1 (BaseJdbcLogger.java:137)

User{id=11, userName='admin', passWord='123456', email='123@ss.com'}

由结果显示,我们输入正确的用户名称和账号密码是没有问题的,用户可以查到。

那么当我们不知道密码的时候,使用sql注入的方式也可以进行数据的读取,如下所示:我们的SQL语句不变,我们改变传入参数的内容。

User user = userMapper.login("admin", "' or 1='1");

System.out.println(user);

通过以上的方式传参,进行用户登录测试,结果如下:

DEBUG 02-13 16:36:01,997 ==> Preparing: SELECT * FROM user where username='admin' and (password='' or 1='1') (BaseJdbcLogger.java:137)

DEBUG 02-13 16:36:02,020 ==> Parameters: (BaseJdbcLogger.java:137)

DEBUG 02-13 16:36:02,037 <== Total: 1 (BaseJdbcLogger.java:137)

User{id=11, userName='admin', passWord='123456', email='123@ss.com'}

由结果可以看出,我们在没有密码的情况下依旧获取到了数据库的私密信息,由此可见${}存在很大的安全隐患。

那我们来看看#{}是否存在安全问题?

测试条件,参数不变,我们修改xml的映射文件,使用#{}进行参数的传递。

<select id="login" resultType="user">

SELECT * FROM user where username=#{param1} and password=#{param2}

</select>

控制台结果显示:

DEBUG 02-14 11:23:09,911 ==> Preparing: SELECT * FROM user where username=? and password=? (BaseJdbcLogger.java:137)

DEBUG 02-14 11:23:09,934 ==> Parameters: admin(String), ' or 1='1(String) (BaseJdbcLogger.java:137)

DEBUG 02-14 11:23:09,951 <== Total: 0 (BaseJdbcLogger.java:137)

null

如上图结果显示:参数的传递相当于password=“' or 1='1”这个整体,根据此条件查询数据库,查询不到信息。因此,用时SQL注入引发的安全隐患问题,#{}是可以防止的。

总结

通过上文的讲解,大概应该明白的了${}与#{}的区别:

#{}:Mybatis中#{}传递参数底层使用PreparedStatement对象,使用占位符方式,相对安全。

${}:Mybatis中${}传递参数底层使用Statement对象,字符串拼接方式,相对不安全。



Tags:Mybatis   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,不构成投资建议。投资者据此操作,风险自担。如有任何标注错误或版权侵犯请与我们联系,我们将及时更正、删除。
▌相关推荐
Mybatis参数映射搞不明白?来试试这个工具吧!
之前在《使用技巧-Mybatis参数映射》《使用技巧-Mybatis参数映射(2)》提到了Mybatis的一些参数映射技巧,但是平时使用的时候有些小伙伴可能不知道自己写的#{}表达式能不能获取...【详细内容】
2024-02-28  Search: Mybatis  点击:(33)  评论:(0)  加入收藏
如何在Spring项目中配置MP(MyBatis-Plus)集成?
在Spring项目中集成MP,需要进行以下配置:1. 引入依赖:在项目的pom.xml文件中添加MP相关依赖,例如:```xml<dependency> <groupId>com.baomidou</groupId> <artifactId>mybatis-plu...【详细内容】
2024-01-09  Search: Mybatis  点击:(87)  评论:(0)  加入收藏
Mybatis占位符#和$的区别?源码解读
本文针对笔者日常开发中对 Mybatis 占位符 #{} 和 ${} 使用时机结合源码,思考总结而来 &bull; Mybatis 版本 3.5.11 &bull; Spring boot 版本 3.0.2 &bull; mybatis-spring...【详细内容】
2023-10-27  Search: Mybatis  点击:(399)  评论:(0)  加入收藏
看完这篇文章,你也可以手写MyBatis部分源码(JDBC)
一、持久化机制持久化(persistence): 把数据保存到可调电式存储设备中以供之后使用。大多数情况下,特别是企业级应用,数据持久化意味着将内存中的数据保存到硬盘上加以”固化...【详细内容】
2023-10-09  Search: Mybatis  点击:(332)  评论:(0)  加入收藏
Mybatis-Flex初体验
本篇文章内容主要包括: MyBatis-Flex 介绍MyBatis-Flex 是一个优雅的 MyBatis 增强框架,它非常轻量、同时拥有极高的性能与灵活性。我们可以轻松的使用 Mybaits-Flex 链接任何...【详细内容】
2023-09-24  Search: Mybatis  点击:(196)  评论:(0)  加入收藏
MyBatis简单易用的背后隐藏的挑战
MyBatis,作为一款备受欢迎的持久层框架,它的简单易用以及灵活的配置吸引了无数的开发者。然而,随着项目的不断发展,规模的逐渐扩大,MyBatis的一些挑战也开始逐渐浮出水面。首先,由...【详细内容】
2023-09-15  Search: Mybatis  点击:(242)  评论:(0)  加入收藏
MyBatis缓存机制
MyBatis 的缓存机制属于本地缓存,适用于单机系统,它的作用是减少数据库的查询次数,提高系统性能。MyBaits 中包含两级本地缓存: 一级缓存:SqlSession 级别的,是 MyBatis 自带的缓...【详细内容】
2023-09-12  Search: Mybatis  点击:(229)  评论:(0)  加入收藏
对比 MyBatis 和 MyBatis-Plus 批量插入、批量更新的性能和区别
1 环境准备1.1 搭建 MyBatis-Plus 环境 创建 maven springboot 工程 导入依赖:web 启动器、jdbc、、java 连接 mysql、Lombok、druid 连接池启动器、mybatis-plus 启动器 编...【详细内容】
2023-09-08  Search: Mybatis  点击:(191)  评论:(0)  加入收藏
Spring Data JPA 和 MyBatis 谁更强?
我无法明确的告诉你JPA和MyBatis在国内哪个会更流行,我本人更喜欢JPA,但是我本人日常开发用MyBatis多。但是我的回答绝对不是在划水,而是我多年来自己的一点小小的思考。MyBati...【详细内容】
2023-08-22  Search: Mybatis  点击:(335)  评论:(0)  加入收藏
Mybatis-Plus可能会导致数据库死锁
一、场景还原1.版本信息MySQL版本:5.6.36-82.1-logMybatis-Plus的starter版本:3.3.2存储引擎:InnoDB2.死锁现象A同学在生产环境使用了Mybatis-Plus提供的com.baomidou.mybatisp...【详细内容】
2023-08-14  Search: Mybatis  点击:(171)  评论:(0)  加入收藏
▌简易百科推荐
Web Components实践:如何搭建一个框架无关的AI组件库
一、让人又爱又恨的Web ComponentsWeb Components是一种用于构建可重用的Web元素的技术。它允许开发者创建自定义的HTML元素,这些元素可以在不同的Web应用程序中重复使用,并且...【详细内容】
2024-04-03  京东云开发者    Tags:Web Components   点击:(8)  评论:(0)  加入收藏
Kubernetes 集群 CPU 使用率只有 13% :这下大家该知道如何省钱了
作者 | THE STACK译者 | 刘雅梦策划 | Tina根据 CAST AI 对 4000 个 Kubernetes 集群的分析,Kubernetes 集群通常只使用 13% 的 CPU 和平均 20% 的内存,这表明存在严重的过度...【详细内容】
2024-03-08  InfoQ    Tags:Kubernetes   点击:(12)  评论:(0)  加入收藏
Spring Security:保障应用安全的利器
SpringSecurity作为一个功能强大的安全框架,为Java应用程序提供了全面的安全保障,包括认证、授权、防护和集成等方面。本文将介绍SpringSecurity在这些方面的特性和优势,以及它...【详细内容】
2024-02-27  风舞凋零叶    Tags:Spring Security   点击:(54)  评论:(0)  加入收藏
五大跨平台桌面应用开发框架:Electron、Tauri、Flutter等
一、什么是跨平台桌面应用开发框架跨平台桌面应用开发框架是一种工具或框架,它允许开发者使用一种统一的代码库或语言来创建能够在多个操作系统上运行的桌面应用程序。传统上...【详细内容】
2024-02-26  贝格前端工场    Tags:框架   点击:(47)  评论:(0)  加入收藏
Spring Security权限控制框架使用指南
在常用的后台管理系统中,通常都会有访问权限控制的需求,用于限制不同人员对于接口的访问能力,如果用户不具备指定的权限,则不能访问某些接口。本文将用 waynboot-mall 项目举例...【详细内容】
2024-02-19  程序员wayn  微信公众号  Tags:Spring   点击:(39)  评论:(0)  加入收藏
开发者的Kubernetes懒人指南
你可以将本文作为开发者快速了解 Kubernetes 的指南。从基础知识到更高级的主题,如 Helm Chart,以及所有这些如何影响你作为开发者。译自Kubernetes for Lazy Developers。作...【详细内容】
2024-02-01  云云众生s  微信公众号  Tags:Kubernetes   点击:(50)  评论:(0)  加入收藏
链世界:一种简单而有效的人类行为Agent模型强化学习框架
强化学习是一种机器学习的方法,它通过让智能体(Agent)与环境交互,从而学习如何选择最优的行动来最大化累积的奖励。强化学习在许多领域都有广泛的应用,例如游戏、机器人、自动驾...【详细内容】
2024-01-30  大噬元兽  微信公众号  Tags:框架   点击:(68)  评论:(0)  加入收藏
Spring实现Kafka重试Topic,真的太香了
概述Kafka的强大功能之一是每个分区都有一个Consumer的偏移值。该偏移值是消费者将读取的下一条消息的值。可以自动或手动增加该值。如果我们由于错误而无法处理消息并想重...【详细内容】
2024-01-26  HELLO程序员  微信公众号  Tags:Spring   点击:(86)  评论:(0)  加入收藏
SpringBoot如何实现缓存预热?
缓存预热是指在 Spring Boot 项目启动时,预先将数据加载到缓存系统(如 Redis)中的一种机制。那么问题来了,在 Spring Boot 项目启动之后,在什么时候?在哪里可以将数据加载到缓存系...【详细内容】
2024-01-19   Java中文社群  微信公众号  Tags:SpringBoot   点击:(86)  评论:(0)  加入收藏
花 15 分钟把 Express.js 搞明白,全栈没有那么难
Express 是老牌的 Node.js 框架,以简单和轻量著称,几行代码就可以启动一个 HTTP 服务器。市面上主流的 Node.js 框架,如 Egg.js、Nest.js 等都与 Express 息息相关。Express 框...【详细内容】
2024-01-16  程序员成功  微信公众号  Tags:Express.js   点击:(88)  评论:(0)  加入收藏
站内最新
站内热门
站内头条