最新一期面试文档扫码左侧二维码免费拿!
前几天,一位应届生去面试,被问到一个MyBatis中比较基础的问题,说MyBatis中的#号和$符号有什么区别?今天,我给大家来详细介绍一下。
另外,我花了1个多星期,准备了一份10W字的面试题解析配套文档,想获取的小伙伴可以扫码文章底部二维码免费拿!
1、两者区别
Mybatis提供到的#号和$号,都是实现动态SQL的一种方式,通过这两种方式把参数传递到XML之后,在执行操作之前,Mybatis会对这两种占位符进行动态解析。
下面我给家详细介绍一下#号和$号的区别,
首先,来看#号,等同于JDBC里面的?号(占位符)。
它相当于向PreparedStatement预处理语句中设置参数,而PreparedStatement中的SQL语句是预编译的,如果在设置的参数包含特殊字符,会自动进行转义。所以#号占位符可以防止SQL注入。
比如:这样一段代码:
解析前:
select * from user order by #{age} desc;
解析后:
select * from user order by ? desc;
而使用$号,相当于直接把参数拼接到了原始的SQL里面,MyBatis不会对它进行特殊处理。
解析前:
select * from user order by ${age} desc;
解析后:
select * from user order by age desc;
所以$和#最大的区别在于,前者是动态参数,后者是占位符, 动态参数无法防止SQL注入的问题,所以在实际应用中,应该尽可能的使用#号占位符。
另外,$符号的动态传参,可以适合应用在一些动态SQL场景中,比如动态传递表名、动态设置排序字段等。
2、总结
一些小的细节如果不注意,就有可能造成巨大的经济损失。在技术如此成熟的互联网时代,还是会有一些网站经常出现SQL注入导致信息泄露的问题。
以上就是我对MyBatis配置#号和$号的理解。我是被编程耽误的文艺Tom,关注我,面试不再难!
最后,我把之前分享的视频全部整理成了文字,想获取的小伙伴可以扫描文章底部二维码拿!希望能够以此来提高各位粉丝的通过率。
