面试八股文(六)--Mybatis#{}和${}的区别?

一、符号使用举例

//在select标签中使用,#用于表示占位符,把他单独作为某个值;而$用于表示字符串拼接

二、举例使用并区分

1.select from #{tableName} 和 select from ${tableName}
①对于#号来说,由于它表示占位符,他是作为值存在的,因此它实际传输的语句select from ?,而这种语句是需要预编译的。假设我现在传递参数为字符串'user',语句就变成select from 'user',这样的语句是无法执行的。
②而对于$号来说,select * from ${tableName},他是以字符串拼接的形式,因此他是能够执行的
③那这样来说,是不是意味着$更好呢?其实并不是,我们来看下面的语句
2.select from auth_user where username = #{userName} 和 select from auth_user where username = %{userName}
①从上面的例子我们可以知道$是对字符串进行拼接再执行SQL语句的,假设我们执行上面的语句就会产生一个问题,我怎么知道输入的userName是不是正常的呢,假设他是坏人呢?如输入"username' or '1'= `1"语句就会变成

select * from auth_user where username = "username' or '1'= `1"

也就是我们常说的SQL注入,这样会导致我们所有的用户信息都会暴露出来!!!

三、日常使用

1.细心的同学可能发现了,第一个SQL语句需要的参数是我们程序员已知的,而第二个SQL语句需要的参数是用户输入的。因此,我们可以得出一个结论,一般#用于用户输入值的地方、$用于程序员自己赋值的地方

四、区别

1.#号表示占位符;$表示拼接字符串
2.#号使用的是PreparedStatement,他会进行预编译,能防止SQL注入;而$使用的是Statement

五、为什么预编译能防止SQL注入?

1.解释:在使用占位符,或者说参数的时候,数据库已经将sql指令编译过,那么查询的格式已经订好了,也就是我们说的我已经明白你要做什么了,你要是将不合法的参数传进去,会有合法性检查,用户只需要提供参数给我,参数不会当成指令部分来执行,也就是预编译已经把指令以及参数部分区分开,参数部分不允许传指令进来
2.理解:预编译的时候是先把这句话编译了,生成sql模板,相当于生成了一个我提前知道你要查名字了,你把名字传给我,你现在想骗我,把字符串"username' or '1'= `1" 传进去,那么数据库去名字这一字段帮你找,发现没有这个人,自然也就无法生成编译语句了

你可能感兴趣的:(mysql)