面试突击76：${} 和 #{} 有什么区别？

${} 和 #{} 都是面试 MyBatis 中用来替换参数的，它们都可以将用户传递过来的突击参数，替换到 MyBatis 最终生成的什区 SQL 中，但它们区别却是面试很大的，接下来我们一起来看。突击

1.功能不同

${} 是什区将参数直接替换到 SQL 中，比如以下代码：

复制<select id="getUserById" resultType="com.example.demo.model.UserInfo"> select * from userinfo where id=${id}</select>1.2.3.

最终生成的面试执行 SQL 如下：

从上图可以看出，之前的突击参数 ${id} 被直接替换成具体的参数值 1 了。而 #{} 则是什区使用占位符的方式，用预处理的面试方式来执行业务，我们将上面的突击案例改造为 #{} 的形式，实现代码如下：

复制<select id="getUserById" resultType="com.example.demo.model.UserInfo"> select * from userinfo where id=#{id}</select>1.2.3.

最终生成的什区 SQL 如下：

${} 的问题

当参数为数值类型时（在不考虑安全问题的前提下），${} 和 #{} 的面试执行效果都是一样的，香港云服务器然而当参数的突击类型为字符时，再使用 ${} 就有问题了，什区如下代码所示：

复制<select id="getUserByName" resultType="com.example.demo.model.UserInfo"> select * from userinfo where name=${name}</select>1.2.3.

以上程序执行时，生成的 SQL 语句如下：

这样就会导致程序报错，因为传递的参数是字符类型的，而在 SQL 的语法中，如果是字符类型需要给值添加单引号，否则就会报错，而 ​${} 是直接替换，不会自动添加单引号，所以执行就报错了。而使用 #{} 采用的是占位符预执行的，所以不存在任何问题，它的实现代码如下：

复制<select id="getUserByName" resultType="com.example.demo.model.UserInfo"> select * from userinfo where name=#{name}</select>1.2.3.

以上程序最终生成的执行 SQL 如下：

2.使用场景不同

虽然使用 #{} 的方式可以处理任意类型的参数，然而当传递的参数是一个 SQL 命令或 SQL 关键字时 #{} 就会出问题了。比如，源码下载当我们要根据价格从高到低（倒序）、或从低到高（正序）查询时，如下图所示：

此时我们要传递的排序的关键字，desc 倒序（价格从高到低）或者是 asc 正序（价格从低到高），此时我们使用 ​${} 的实现代码瑞安：

复制<select id="getAll" resultType="com.example.demo.model.Goods"> select * from goods order by price ${sort}</select>1.2.3.

以上代码生成的执行 SQL 和运行结果如下：

但是，如果将代码中的 ${} 改为 #{}，那么程序执行就会报错，#{} 的实现代码如下：

复制<select id="getAll" resultType="com.example.demo.model.Goods"> select * from goods order by price #{sort}</select>1.2.3.

以上代码生成的执行 SQL 和运行结果如下：

从上述的执行结果我们可以看出：当传递的是普通参数时，需要使用 #{} 的方式，而当传递的是 SQL 命令或 SQL 关键字时，需要使用 ​${} 来对 SQL 中的参数进行直接替换并执行。

3.安全性不同

${}​ 和 #{} 最主要的区别体现在安全方面，当使用 ${} 会出现安全问题，也就是 SQL 注入的问题，亿华云计算而使用 #{} 因为是预处理的，所以不会存在安全问题，我们通过下面的登录功能来观察一下二者的区别。

3.1 使用 ${} 实现用户登录

UserMapper.xml 中的实现代码如下：

复制<select id="login" resultType="com.example.demo.model.UserInfo"> select * from userinfo where name=${name} and password=${password}</select>1.2.3.

单元测试代码如下：

复制@Test

void login() { UserInfo userInfo = userMapper.login("java", "java"); System.out.println(userInfo);}1.2.3.4.5.

以上代码生成的执行 SQL 和运行结果如下：

从结果可以看出，当我们传入了正确的用户名和密码时，能成功的查询到数据。但是，在我们使用 ​${} 时，当我们在不知道正确密码的情况下，使用 SQL 注入语句也能用户的私人信息，SQL 注入的实现代码如下：

复制@Test

void login() { UserInfo userInfo = userMapper.login("java", " or 1=1"); System.out.println(userInfo);}1.2.3.4.5.

以上代码生成的执行 SQL 和运行结果如下：

从上述结果可以看出，当使用 ${} 时，在不知道正确密码的情况下也能得到用户的私人数据，这就像一个小偷在没有你们家钥匙的情况下，也能轻松的打开你们家大门一样，这是何其恐怖的事情。那使用 #{} 有没有安全问题呢？接下来我们来测试一下。

3.2 使用 #{} 实现用户登录

首先将 UserMapper.xml 中的代码改成以下内容：

复制<select id="login" resultType="com.example.demo.model.UserInfo"> select * from userinfo where name=#{name} and password=#{password}</select>1.2.3.

接着我们使用上面的 SQL 注入来测试登录功能：

复制@Test

void login() { UserInfo userInfo = userMapper.login("java", " or 1=1"); System.out.println(userInfo);}1.2.3.4.5.

最终生成的 SQL 和执行结果如下：

从上述代码可以看出，使用 SQL 注入是无法攻破 #{} 的“大门”的，所以可以放心使用。

总结

${}​ 和 #{} 都是 MyBatis 中用来替换参数的，它们二者的区别主要体现在：1、功能不同：${}​ 是直接替换，而 #{} 是预处理；2、使用场景不同：普通参数使用 #{}，如果传递的是 SQL 命令或 SQL 关键字，需要使用 ${}​，但在使用前一定要做好安全验证；3、安全性不同：使用 ${} 存在安全问题，而 #{} 则不存在安全问题。

本文地址：http://www.bzve.cn/html/592f1599392.html