关注「Java视界」公众号,获取更多技术干货

#{} 和 ${} 的区别--详细

目录

一、区别汇总

1.  编译过程

2.  是否自动加单引号

3.   安全性

4.  Mybatis默认值不同

二、区别说明

1.  #{}

2.  ${}

3.  关于安全性

4.  关于默认值

4.1  #{}

4.2  ${}

三、如何选择 #{} 和 ${}


#{}和${}这两个语法是为了动态传递参数而存在的,是Mybatis实现动态SQL的基础,总体上他们的作用是一致的(为了动态传参),但是在编译过程、是否自动加单引号、安全性、使用场景等方面有很多不同,下面详细比较两者间的区别: 

一、区别汇总

1.  编译过程

  1. #{} 占位符 :动态解析 -> 预编译 -> 执行
  2. ${} 拼接符 :动态解析 -> 编译 -> 执行

预编译可以类比java类的编译,java类被编译成class文件,载入虚拟机,载入虚拟机的字节码文件可以先被编译成机器吗,那么在执行某行代码的时候就可以直接执行编译后的机器码,而不用从字节码开始编译再执行,那么执行效率就高了。这也是为啥热机状态比冷机状态可以抗更多负载的原因。

sql的预编译也是一样的道理,在执行前就编译好,等执行时直接取编译结果去执行。省去编译时间。sql预编译后会在参数位置用占位符表示。 

预编译:数据库驱动在发送sql和参数到DBMS之前,先对sql语句进行编译处理,之后DBMS则可以直接对sql进行处理,不需要再次编译,提高了性能。这一点mybatis 默认情况下,将对所有的 sql 进行预编译处理。

  • 预编译可以将多个操作步骤合并成一个步骤,一般而言,越复杂的sql,编译程度也会复杂,难度大,耗时,费性能,而预编译可以合并这些操作,预编译之后DBMS可以省去编译直接运行sql。
  • 预编译语句可以重复利用。
    把一个 sql 预编译后产生的 PreparedStatement 对象缓存下来,下次对于同一个sql,可以直接使用这个缓存的 PreparedState 对象。

2.  是否自动加单引号

  1. #{} 对应的变量自动加上单引号 
  2. ${} 对应的变量不会加上单引号 

3.   安全性

  1. #{}  防止sql 注入
  2. ${}  不能防止sql 注入

4.  Mybatis默认值不同

  1. #{} 默认值 arg0arg1arg2  或 0、 1
  2. ${} 默认值param1param2param3

二、区别说明

上面列举了 #{} 和 ${} 的区别,接下来结合代码及SQL语句打印日志进行说明:

关于SQL语句打印,如果是Spring Boot集成的Mybatis项目可以在application.yml文件中加入以下配置:

1.  #{}

 <select id="selectById" resultMap="roleResultMap">
     select * from `role` where id = #{id}
 </select>

#{}动态获取id时,sql语句的打印显示的是一个 “?” ,即占位符。

2.  ${}

<select id="selectById" resultMap="roleResultMap">
    select * from `role` where id = ${id}
</select>

 

#{}动态获取id时,sql语句的打印显示的是一个 “1” ,没有占位符,直接显示。

3.  关于安全性

主要指的就是防SQL注入,什么是SQL注入?以上面的角色查询为例:

如果此时的传参 name = "富贵 or name = 狗蛋",

select * from `role` where name = ${name}

因为${}是拼接符,会直接替换,所以实际是:

select * from `role` where name = '富贵' or name = '狗蛋'

可以看到SQL语句的查询规则已经改变,原本是查一个叫名字叫“富贵 or name=狗蛋”的角色 ,现在变成了查一个名字叫“富贵”或者叫“狗蛋”的角色,这种通过传参就能改变SQL语句原本规则的操作就是SQL注入,这个在实际生产中当然是危险的,攻击者可以把SQL命令插入到Web表单的输入域或页面请求的查询字符串中,欺骗服务器执行恶意的SQL命令。

可以看到,${} 直接拼接的方式可能引起SQL注入,不安全。那 #{} 为啥就可以防止SQL注入呢?

select * from `role` where name = #{name}

因为#{}是占位符,所以实际是:

select * from `role` where name = '富贵 or name = 狗蛋'

可以看到, #{} 不会改变原本的SQL规则,占位符 “?” 处会被完整替换,因此可以防止SQL注入。

4.  关于默认值

4.1  #{}

<select id="selectByNameAndOrgId" resultMap="roleResultMap">
    select * from `role` where name = #{0} and org_id = #{1}
</select>

这里用Mybatis默认的 01 来代替传参,根据版本不同,也可能是用arg0arg1arg2,或者 param1 、param2 ,可以根据报错信息进行修改,如下:

4.2  ${}

<select id="selectByNameAndOrgId" resultMap="roleResultMap">
    select * from `role` where name = ${0} and org_id = ${1}
</select>

${} 时,用 0 和 1虽然不会报错,但是会直接当成参数执行。一般默认参数是param1、param2...

<select id="selectByNameAndOrgId" resultMap="roleResultMap">
    select * from `role` where name = ${param0} and org_id = ${param1}
</select>

三、如何选择 #{} 和 ${}

  1. 能用 #{} 的地方就用 #{},尽量少用 ${}
  2. 表名作参数,或者order by 排序时用 ${}
  3. 传参时参数使用@Param("")注解,@Param注解的作用是给参数命名,参数命名后就能根据名字得到参数值(相当于又加了一层密),正确的将参数传入sql语句中(一般通过#{}的方式,${}会有sql注入的问题)。如下:

Role selectById(@Param("id") String id);
       List<Role> selectByNameAndOrgId(@Param("name") String name, @Param("orgId") String orgId);

以上就是 #{} 和 ${} 的区别与使用。 

posted @ 2022-06-25 14:02  沙滩de流沙  阅读(1390)  评论(0编辑  收藏  举报

关注「Java视界」公众号,获取更多技术干货