欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页  >  IT编程

你真的了解MyBatis中${}和#{}的区别吗?

程序员文章站 2023-01-02 14:35:21
动态sql是mybatis的主要特性之一。在mapper中定义的参数传到xml中之后,在查询之前mybatis会对其进行动态解析。 mybatis提供了两种支持动态sql的语法: {} 和 ${}。 username传参一致的话,这两种执行的结果是一样的,但是这两种方式在动态sql解析阶段的处理是不 ......

动态sql是mybatis的主要特性之一。在mapper中定义的参数传到xml中之后,在查询之前mybatis会对其进行动态解析。

mybatis提供了两种支持动态sql的语法:#{} 和 ${}。

select * from t_user where username = '${username}';
select * from t_user where username = #{username};

username传参一致的话,这两种执行的结果是一样的,但是这两种方式在动态sql解析阶段的处理是不一样的。

1、#{}

解析为一个jdbc预编译语句(prepared statement)的参数标记符,把参数部分用占位符 ? 代替。动态解析为:

select * from t_user where username = ?;

而传入的参数将会经过preparedstatement方法的强制类型检查和安全检查等处理,最后作为一个合法的字符串传入。

2、${}

这种方式只会做简单的字符串替换,在动态sql解析阶段将会进行变量替换,假如传递的参数为二师兄,最终处理结果如下:

select * from t_user where username = '二师兄' ;

这样在预编译之前的sql语句已经不包含变量了,因此可以看出 ${} 变量的替换阶段是在动态sql解析阶段。

3、#{}与${}两种方式对比

1)是否预防sql注入

以上不同的处理方式可以看出

  • {} 预处理之后可以预防sql注入

  • ${} 预编译之前就已经被替换,有被注入的风险

举个栗子:

如果传入的username 为 a' or '1=1,那么使用 ${} 处理后直接替换字符串的sql就解析为:

select * from t_user where username = 'a' or '1=1' ;

这样的话所有的用户数据就被查出来了,这样就属于sql注入.

如果使用#{},经过sql动态解析和预编译,会把单引号转义为 \' 那么sql最终解析为:

select * from t_user where username = "a\' or \'1=1 ";//这样会查不出任何数据,有效阻止sql注入

有的业务场景经常用到模糊查询,也就是like处理,推荐使用以下处理方式:
t_user.username like #username#

if (!stringutil.isempty(this.username)) {
table.setusername("%" + this.username + "%");
}

或者也可以使用数据库函数进行连接处理:

select * from t_user u where username  like concat('%', #username#, '%')

注意:
以上就可以发现在某些特定场景下只能用${},比如order by后的排序字段,表名、列名,因为需要替换为不变的常量。如果表名中使用#{}的话,会变成如下:
select * from #{tablename}-->tablename传参为t_user --->处理后变成 select * from 't_user',没有这样的表名,这样的话就会报错了,order by 同理。

2)性能考虑

因为预编译语句对象可以重复利用,把一个sql预编译后产生的preparedstatement对象缓存下来,下次对于同一个sql,可以直接使用缓存的preparedstatement对象,mybatis默认情况下,对所有的sql进行预编译,这样的话 #{}的处理方式性能会相对高些。

总结:

能使用#{}的时候尽量使用#{}表名。
order by的排序字段作为变量时,使用${}。

来源:https://dwz.cn/tqwjgpbp
关注微信公众号【悟能之能】了解更多编程技巧。
回复"面经"获取面试资料
你真的了解MyBatis中${}和#{}的区别吗?