首页 > 其他分享 >面试突击76:${} 和 #{} 有什么区别?

面试突击76:${} 和 #{} 有什么区别?

时间:2022-08-23 08:57:00浏览次数:69  
标签:name 面试 使用 如下 76 参数 SQL 突击 select

${} 和 #{} 都是 MyBatis 中用来替换参数的,它们都可以将用户传递过来的参数,替换到 MyBatis 最终生成的 SQL 中,但它们区别却是很大的,接下来我们一起来看。

1.功能不同

${} 是将参数直接替换到 SQL 中,比如以下代码:

<select id="getUserById" resultType="com.example.demo.model.UserInfo">
    select * from userinfo where id=${id}
</select>

最终生成的执行 SQL 如下:
image.png
从上图可以看出,之前的参数 ${id} 被直接替换成具体的参数值 1 了。
#{} 则是使用占位符的方式,用预处理的方式来执行业务,我们将上面的案例改造为 #{} 的形式,实现代码如下:

<select id="getUserById" resultType="com.example.demo.model.UserInfo">
    select * from userinfo where id=#{id}
</select>

最终生成的 SQL 如下:
image.png

${} 的问题

当参数为数值类型时(在不考虑安全问题的前提下),${} 和 #{} 的执行效果都是一样的,然而当参数的类型为字符时,再使用 ${} 就有问题了,如下代码所示:

<select id="getUserByName" resultType="com.example.demo.model.UserInfo">
    select * from userinfo where name=${name}
</select>

以上程序执行时,生成的 SQL 语句如下:
image.png
这样就会导致程序报错,因为传递的参数是字符类型的,而在 SQL 的语法中,如果是字符类型需要给值添加单引号,否则就会报错,而 ${} 是直接替换,不会自动添加单引号,所以执行就报错了。
而使用 #{} 采用的是占位符预执行的,所以不存在任何问题,它的实现代码如下:

<select id="getUserByName" resultType="com.example.demo.model.UserInfo">
    select * from userinfo where name=#{name}
</select>

以上程序最终生成的执行 SQL 如下:
image.png

2.使用场景不同

虽然使用 #{} 的方式可以处理任意类型的参数,然而当传递的参数是一个 SQL 命令或 SQL 关键字时 #{} 就会出问题了。比如,当我们要根据价格从高到低(倒序)、或从低到高(正序)查询时,如下图所示:
image.png
此时我们要传递的排序的关键字,desc 倒序(价格从高到低)或者是 asc 正序(价格从低到高),此时我们使用 ${} 的实现代码瑞安:

<select id="getAll" resultType="com.example.demo.model.Goods">
  select * from goods order by price ${sort}
</select>

以上代码生成的执行 SQL 和运行结果如下:
image.png
但是,如果将代码中的 ${} 改为 #{},那么程序执行就会报错,#{} 的实现代码如下:

<select id="getAll" resultType="com.example.demo.model.Goods">
  select * from goods order by price #{sort}
</select>

以上代码生成的执行 SQL 和运行结果如下:
image.png
从上述的执行结果我们可以看出:当传递的是普通参数时,需要使用 #{} 的方式,而当传递的是 SQL 命令或 SQL 关键字时,需要使用 ${} 来对 SQL 中的参数进行直接替换并执行。

3.安全性不同

${} 和 #{} 最主要的区别体现在安全方面,当使用 ${} 会出现安全问题,也就是 SQL 注入的问题,而使用 #{} 因为是预处理的,所以不会存在安全问题,我们通过下面的登录功能来观察一下二者的区别。

3.1 使用 ${} 实现用户登录

UserMapper.xml 中的实现代码如下:

<select id="login" resultType="com.example.demo.model.UserInfo">
  select * from userinfo where name='${name}' and password='${password}'
</select>

单元测试代码如下:

@Test
void login() {
    UserInfo userInfo = userMapper.login("java", "java");
    System.out.println(userInfo);
}

以上代码生成的执行 SQL 和运行结果如下:
image.png
从结果可以看出,当我们传入了正确的用户名和密码时,能成功的查询到数据。但是,在我们使用 ${} 时,当我们在不知道正确密码的情况下,使用 SQL 注入语句也能用户的私人信息,SQL 注入的实现代码如下:

@Test
void login() {
    UserInfo userInfo = userMapper.login("java", "' or 1='1");
    System.out.println(userInfo);
}

以上代码生成的执行 SQL 和运行结果如下:
image.png
从上述结果可以看出,当使用 ${} 时,在不知道正确密码的情况下也能得到用户的私人数据,这就像一个小偷在没有你们家钥匙的情况下,也能轻松的打开你们家大门一样,这是何其恐怖的事情。那使用 #{} 有没有安全问题呢?接下来我们来测试一下。

3.2 使用 #{} 实现用户登录

首先将 UserMapper.xml 中的代码改成以下内容:

<select id="login" resultType="com.example.demo.model.UserInfo">
  select * from userinfo where name=#{name} and password=#{password}
</select>

接着我们使用上面的 SQL 注入来测试登录功能:

@Test
void login() {
    UserInfo userInfo = userMapper.login("java", "' or 1='1");
    System.out.println(userInfo);
}

最终生成的 SQL 和执行结果如下:
image.png
从上述代码可以看出,使用 SQL 注入是无法攻破 #{} 的“大门”的,所以可以放心使用。

总结

${} 和 #{} 都是 MyBatis 中用来替换参数的,它们二者的区别主要体现在:1、功能不同:${} 是直接替换,而 #{} 是预处理;2、使用场景不同:普通参数使用 #{},如果传递的是 SQL 命令或 SQL 关键字,需要使用 ${},但在使用前一定要做好安全验证;3、安全性不同:使用 ${} 存在安全问题,而 #{} 则不存在安全问题。

是非审之于己,毁誉听之于人,得失安之于数。

公众号:Java面试真题解析

面试合集:https://gitee.com/mydb/interview

标签:name,面试,使用,如下,76,参数,SQL,突击,select
From: https://www.cnblogs.com/vipstone/p/16614900.html

相关文章

  • 76. 最小覆盖子串
    76.最小覆盖子串给你一个字符串s、一个字符串t。返回s中涵盖t所有字符的最小子串。如果s中不存在涵盖t所有字符的子串,则返回空字符串""。 注意:对......
  • 面试--泛型
    ☺面试聊聊泛型?泛型是jdk5的一个新特性,Java5之前,在集合中存储对象并在使用前进行类型转换是多么的不方便。泛型防止了那种情况的发生。它提供了编译期的类型安全,确保你......
  • 面试题:如何保证HTTP接口的安全性
    首先应该考虑使用https协议,因为http协议是不安全的,一般来说购买服务器的时候厂商都会送免费的https的ssl证书,只需要在nginx配置就可以了。接口应该开启加密,分为对称加密......
  • 【Java面试】谈谈常用的分布式ID设计方案
    “谈谈常用的分布式ID设计方案”!一个工作了7年的同学,被问到了这样一个问题。问题并不难,但是在实际面试的时候,如果只是回答1,2,3很难通过面试,因为作为一个高级程序员,还需......
  • 快手知识图谱算法工程师面试复盘
    第一次正儿八经地经历大厂面试,自己都没想到自己竟然能坚持一个小时。自己能力很差,但就算是很差的能力,也尽到百分百的努力去表现了。应该大概率是会挂掉的,如果我是hr,也不会......
  • linux开机卡死-end tarce dcec58a1576e8cea
    故障表述:因为机房空调其中一台不制冷,机房内温度过高,关闭部分非正式环境的服务器以减少散热。修好空调后,观察半天,没有问题。重新打开前面关闭的linux服务器,发生以下错误:见......
  • NC20276 [SCOI2010]传送带
    题目原题地址:[SCOI2010]传送带题目编号:NC20276题目类型:三分时间限制:C/C++1秒,其他语言2秒空间限制:C/C++262144K,其他语言524288K1.题目大意平面两条线段AB、CD,想......
  • Vue面试题06:Vue子组件是否可以修改父组件的数据?
    Vue子组件是否可以修改父组件的数据?可以修改但不推荐:首先,文档中指出组件开发需要遵循单向数据流原则:即所有的props都遵循着单向绑定的原则,props因父组件的更新而变化......
  • 面试---JMM内存模型
    内存模型---内存、线程有关 JMM内存模型是JVM在计算机内存中如何工作的行为规范;它屏蔽了各种硬件和操作系统的访问差异。保证了java程序在各种平台下对内存的访问都能......
  • Mysql 面试知识点-(理解即可)
    1、关系型和非关系型数据库的区别?关系型数据库的优点-容易理解,因为它采用了关系模型来组织数据。可以保持数据的一致性。数据更新的开销比较小。支持复杂查询(带wher......