如果有遗漏,评论区告诉我进行补充

mybatis_1">面试官: mybatis中的#{}和${}的区别是什么?

我回答:

在MyBatis中，#{} 和 ${} 是两种用于参数替换的占位符，它们在SQL语句中的使用方式和作用有所不同，主要体现在安全性、类型处理和预编译SQL语句的处理上。

1. #{}（预处理占位符）

• 安全性：#{} 使用了预处理（PreparedStatement）的方式，有效防止了SQL注入攻击。因为预处理语句在发送SQL语句到数据库之前，会将SQL语句中的参数替换成占位符（如?），然后在执行时再传入具体的参数值。这样，即使参数中包含SQL注入的恶意代码，也不会被数据库执行。MyBatis会将传入的参数值自动加上引号，如果是数字类型，则直接插入，如果是字符串类型，则加上单引号。

• 类型处理：MyBatis 会对#{}替换的参数进行必要的类型转换和转义处理，以确保参数的类型与数据库表中的列类型相匹配。

• 预编译SQL：使用#{}的SQL语句在数据库层面会被预编译，这意味着如果同一个SQL语句（仅仅是参数不同）被多次执行，数据库会重用之前的预编译结果，这有助于提高性能。

2. ${}（字符串替换）

• 安全性：${} 是简单的字符串替换，直接将参数值拼接到SQL语句中。这种方式容易受到SQL注入攻击，因为参数值会被直接解析为SQL语句的一部分。如果参数值中包含SQL语句的片段，那么这些片段将作为SQL语句的一部分被执行。

• 类型处理：${} 不会进行类型处理或转义处理，它仅仅是将参数值转换成字符串（如果参数不是字符串的话），然后直接拼接到SQL语句中。

• 预编译SQL：使用${}的SQL语句不使用预编译SQL，因为每次执行时SQL语句本身都可能不同（取决于参数值）。这可能导致性能下降，特别是在执行大量相似但参数不同的SQL语句时。

• 灵活性：使用${}可以提高SQL语句的灵活性，特别是在需要动态指定表名或列名的情况下。

选择使用哪个

#{} vs ${}

• 安全性：在安全性方面，#{}更为安全，因为它会自动转义特殊字符，防止SQL注入攻击。
• 性能：在性能方面，#{}优于${}，因为预编译SQL可以减少数据库的解析负担。
• 灵活性：在灵活性方面，${}比#{}更具优势，尤其是在需要动态生成SQL语句的部分（如表名、列名）。

使用场景示例

使用#{}的场景

• 当你需要传递一个参数到SQL语句中，并且这个参数是一个具体的值时，比如id、name等。
• 当你关心SQL注入安全时。

使用${}的场景

• 当你需要动态指定表名或列名时，比如根据用户的输入来决定查询哪个表。
• 当你确信传入的参数是安全的，并且不需要进行SQL注入防护时。

总结

在大多数情况下，推荐使用#{}来传递参数，因为它提供了更好的安全性和性能。然而，在某些特定情况下，如需要动态生成表名或列名时，$可能是必要的选择。无论如何，使用${}时务必注意SQL注入的风险，并采取适当的安全措施。