Java后端面经-----MyBatis面试中常见问题总结

MyBatis面试中常见问题总结


文章目录

  • MyBatis面试中常见问题总结
    • @[toc]
    • 1. #{}和${}的区别
    • 2. MyBatis使用代理进行开发时,接口文件中的方法能不能重载?

1. #{}和${}的区别

​ #{}可以防止sql注入,会将传入的参数作为字符串来处理

​ ${}将传入的参数拼接到SQL上然后直接执行,可能会遭到SQL注入攻击

SQL注入:

例如一条SQL语句:delete from t_table where t_id = ${value} and …;

这样的SQL语句在传入参数时如果传入的是"1 or 1 --"

那么第一个t_id的判断会失败,而后面的1会使整个where判断为true.后面的逻辑被–注释掉了.就会删除整个库.

为什么会有这样的区别?

​ MyBatis在底层实际还是使用JDBC与数据库进行交互,在底层的调用中,#{}会被解释成占位符?,使用set方法去设置值,会进行一定的检查.而${}则是直接进行替换.

​ 在底层是SQL的两种方式:字符串拼接和占位符填充参数

2. MyBatis使用代理进行开发时,接口文件中的方法能不能重载?

​ 不能进行重载,接口中的方法和xxxxxMapper.xml文件中的SQL是通过接口中方法名和xml文件中标签的id一一对应来进行映射的.进行重载的话就不是一一映射了.

你可能感兴趣的:(Java后端面经)