java中${}和#{}有哪些区别
导读:本文共3906字符,通常情况下阅读需要13分钟。同时您也可以点击右侧朗读,来听本文内容。按键盘←(左) →(右) 方向键可以翻页。
摘要:接下来,请跟着小编一起来学习吧!前言${}和 #{} 都是 MyBatis 中用来替换参数的,它们都可以将用户传递过来的参数,替换到 MyBatis 最终生成的 SQL 中,但它们区别却是很大的,接下来我们一起来看。1.功能不同${} 是将参数直接替换到 SQL 中,比如以下代码:<selectid="getUserById"resultType="com.ex... ...
目录
(为您整理了一些要点),点击可以直达。接下来,请跟着小编一起来学习吧!
前言
${}和 #{} 都是 MyBatis 中用来替换参数的,它们都可以将用户传递过来的参数,替换到 MyBatis 最终生成的 SQL 中,但它们区别却是很大的,接下来我们一起来看。
1.功能不同
${} 是将参数直接替换到 SQL 中,比如以下代码:
<selectid="getUserById"resultType="com.example.demo.model.UserInfo">
selectfromuserinfowhereid=${id}
</select>
最终生成的执行 SQL 如下:
从上图可以看出,之前的参数 ${id} 被直接替换成具体的参数值 1 了。 而#{} 则是使用占位符的方式,用预处理的方式来执行业务,我们将上面的案例改造为 #{} 的形式,实现代码如下:
<selectid="getUserById"resultType="com.example.demo.model.UserInfo">
selectfromuserinfowhereid=#{id}
</select>
最终生成的 SQL 如下:
1.1 ${} 的问题
当参数为数值类型时(在不考虑安全问题的前提下),${}和 #{} 的执行效果都是一样的,然而当参数的类型为字符时,再使用 ${} 就有问题了,如下代码所示:
<selectid="getUserByName"resultType="com.example.demo.model.UserInfo">
selectfromuserinfowherename=${name}
</select>
以上程序执行时,生成的 SQL 语句如下:
这样就会导致程序报错,因为传递的参数是字符类型的,而在 SQL 的语法中,如果是字符类型需要给值添加单引号,否则就会报错,而${}是直接替换,不会自动添加单引号,所以执行就报错了。 而使用 #{} 采用的是占位符预执行的,所以不存在任何问题,它的实现代码如下:
<selectid="getUserByName"resultType="com.example.demo.model.UserInfo">
selectfromuserinfowherename=#{name}
</select>
以上程序最终生成的执行 SQL 如下:
2.使用场景不同
虽然使用 #{} 的方式可以处理任意类型的参数,然而当传递的参数是一个 SQL 命令或 SQL 关键字时 #{} 就会出问题了。比如,当我们要根据价格从高到低(倒序)、或从低到高(正序)查询时
此时我们要传递的排序的关键字,desc 倒序(价格从高到低)或者是 asc 正序(价格从低到高),此时我们使用${}的实现代码瑞安:
<selectid="getAll"resultType="com.example.demo.model.Goods">
selectfromgoodsorderbyprice${sort}
</select>
以上代码生成的执行 SQL 和运行结果如下:
但是,如果将代码中的 ${} 改为 #{},那么程序执行就会报错,#{} 的实现代码如下:
<selectid="getAll"resultType="com.example.demo.model.Goods">
selectfromgoodsorderbyprice#{sort}
</select>
以上代码生成的执行 SQL 和运行结果如下:
从上述的执行结果我们可以看出:当传递的是普通参数时,需要使用 #{} 的方式,而当传递的是 SQL 命令或 SQL 关键字时,需要使用${}来对 SQL 中的参数进行直接替换并执行。
3.安全性不同
${}和 #{} 最主要的区别体现在安全方面,当使用${}会出现安全问题,也就是 SQL 注入的问题,而使用 #{} 因为是预处理的,所以不会存在安全问题,我们通过下面的登录功能来观察一下二者的区别。
3.1 使用 ${} 实现用户登录
UserMapper.xml 中的实现代码如下:
<selectid="login"resultType="com.example.demo.model.UserInfo">
selectfromuserinfowherename='${name}'andpassword='${password}'
</select>
单元测试代码如下:
@Test
voidlogin(){
UserInfouserInfo=userMapper.login("java","java");
System.out.println(userInfo);
}
以上代码生成的执行 SQL 和运行结果如下:
从结果可以看出,当我们传入了正确的用户名和密码时,能成功的查询到数据。但是,在我们使用${}时,当我们在不知道正确密码的情况下,使用 SQL 注入语句也能用户的私人信息,SQL 注入的实现代码如下:
@Test
voidlogin(){
UserInfouserInfo=userMapper.login("java","'or1='1");
System.out.println(userInfo);
}
以上代码生成的执行 SQL 和运行结果如下:
从上述结果可以看出,当使用 ${} 时,在不知道正确密码的情况下也能得到用户的私人数据,这就像一个小偷在没有你们家钥匙的情况下,也能轻松的打开你们家大门一样,这是何其恐怖的事情。那使用 #{} 有没有安全问题呢?接下来我们来测试一下。
3.2 使用 #{} 实现用户登录
首先将 UserMapper.xml 中的代码改成以下内容:
<selectid="login"resultType="com.example.demo.model.UserInfo">
selectfromuserinfowherename=#{name}andpassword=#{password}
</select>
接着我们使用上面的 SQL 注入来测试登录功能:
@Test
voidlogin(){
UserInfouserInfo=userMapper.login("java","'or1='1");
System.out.println(userInfo);
}
最终生成的 SQL 和执行结果如下:
从上述代码可以看出,使用 SQL 注入是无法攻破 #{} 的“大门”的,所以可以放心使用。
若想继续学习更多相关知识,请继续关注亿速云网站,小编会继续努力为大家带来更多实用的文章!java中${}和#{}有哪些区别的详细内容,希望对您有所帮助,信息来源于网络。