成人免费xxxxx在线视频软件_久久精品久久久_亚洲国产精品久久久_天天色天天色_亚洲人成一区_欧美一级欧美三级在线观看

面試突擊76:${} 和 #{} 有什么區(qū)別?

數(shù)據(jù)庫 其他數(shù)據(jù)庫
雖然使用 #{} 的方式可以處理任意類型的參數(shù),然而當(dāng)傳遞的參數(shù)是一個 SQL 命令或 SQL 關(guān)鍵字時 #{} 就會出問題了。比如,當(dāng)我們要根據(jù)價格從高到低(倒序)、或從低到高(正序)查詢時。

${} 和 #{} 都是 MyBatis 中用來替換參數(shù)的,它們都可以將用戶傳遞過來的參數(shù),替換到 MyBatis 最終生成的 SQL 中,但它們區(qū)別卻是很大的,接下來我們一起來看。

1.功能不同

${} 是將參數(shù)直接替換到 SQL 中,比如以下代碼:

<select id="getUserById" resultType="com.example.demo.model.UserInfo">
select * from userinfo where id=${id}
</select>

最終生成的執(zhí)行 SQL 如下:

圖片

從上圖可以看出,之前的參數(shù) ${id} 被直接替換成具體的參數(shù)值 1 了。而 #{} 則是使用占位符的方式,用預(yù)處理的方式來執(zhí)行業(yè)務(wù),我們將上面的案例改造為 #{} 的形式,實現(xiàn)代碼如下:

<select id="getUserById" resultType="com.example.demo.model.UserInfo">
select * from userinfo where id=#{id}
</select>

最終生成的 SQL 如下:

圖片

${} 的問題

當(dāng)參數(shù)為數(shù)值類型時(在不考慮安全問題的前提下),${} 和 #{} 的執(zhí)行效果都是一樣的,然而當(dāng)參數(shù)的類型為字符時,再使用 ${} 就有問題了,如下代碼所示:

<select id="getUserByName" resultType="com.example.demo.model.UserInfo">
select * from userinfo where name=${name}
</select>

以上程序執(zhí)行時,生成的 SQL 語句如下:

圖片

這樣就會導(dǎo)致程序報錯,因為傳遞的參數(shù)是字符類型的,而在 SQL 的語法中,如果是字符類型需要給值添加單引號,否則就會報錯,而 ?${} 是直接替換,不會自動添加單引號,所以執(zhí)行就報錯了。而使用 #{} 采用的是占位符預(yù)執(zhí)行的,所以不存在任何問題,它的實現(xiàn)代碼如下:

<select id="getUserByName" resultType="com.example.demo.model.UserInfo">
select * from userinfo where name=#{name}
</select>

以上程序最終生成的執(zhí)行 SQL 如下:

圖片

2.使用場景不同

雖然使用 #{} 的方式可以處理任意類型的參數(shù),然而當(dāng)傳遞的參數(shù)是一個 SQL 命令或 SQL 關(guān)鍵字時 #{} 就會出問題了。比如,當(dāng)我們要根據(jù)價格從高到低(倒序)、或從低到高(正序)查詢時,如下圖所示:

圖片

此時我們要傳遞的排序的關(guān)鍵字,desc 倒序(價格從高到低)或者是 asc 正序(價格從低到高),此時我們使用 ?${} 的實現(xiàn)代碼瑞安:

<select id="getAll" resultType="com.example.demo.model.Goods">
select * from goods order by price ${sort}
</select>

以上代碼生成的執(zhí)行 SQL 和運行結(jié)果如下:

圖片

但是,如果將代碼中的 ${} 改為 #{},那么程序執(zhí)行就會報錯,#{} 的實現(xiàn)代碼如下:

<select id="getAll" resultType="com.example.demo.model.Goods">
select * from goods order by price #{sort}
</select>

以上代碼生成的執(zhí)行 SQL 和運行結(jié)果如下:

圖片

從上述的執(zhí)行結(jié)果我們可以看出:當(dāng)傳遞的是普通參數(shù)時,需要使用 #{} 的方式,而當(dāng)傳遞的是 SQL 命令或 SQL 關(guān)鍵字時,需要使用 ?${} 來對 SQL 中的參數(shù)進行直接替換并執(zhí)行。

3.安全性不同

${}? 和 #{} 最主要的區(qū)別體現(xiàn)在安全方面,當(dāng)使用 ${} 會出現(xiàn)安全問題,也就是 SQL 注入的問題,而使用 #{} 因為是預(yù)處理的,所以不會存在安全問題,我們通過下面的登錄功能來觀察一下二者的區(qū)別。

3.1 使用 ${} 實現(xiàn)用戶登錄

UserMapper.xml 中的實現(xiàn)代碼如下:

<select id="login" resultType="com.example.demo.model.UserInfo">
select * from userinfo where name='${name}' and password='${password}'
</select>

單元測試代碼如下:

@Test
void login() {
UserInfo userInfo = userMapper.login("java", "java");
System.out.println(userInfo);
}

以上代碼生成的執(zhí)行 SQL 和運行結(jié)果如下:

圖片

從結(jié)果可以看出,當(dāng)我們傳入了正確的用戶名和密碼時,能成功的查詢到數(shù)據(jù)。但是,在我們使用 ?${} 時,當(dāng)我們在不知道正確密碼的情況下,使用 SQL 注入語句也能用戶的私人信息,SQL 注入的實現(xiàn)代碼如下:

@Test
void login() {
UserInfo userInfo = userMapper.login("java", "' or 1='1");
System.out.println(userInfo);
}

以上代碼生成的執(zhí)行 SQL 和運行結(jié)果如下:

圖片

從上述結(jié)果可以看出,當(dāng)使用 ${} 時,在不知道正確密碼的情況下也能得到用戶的私人數(shù)據(jù),這就像一個小偷在沒有你們家鑰匙的情況下,也能輕松的打開你們家大門一樣,這是何其恐怖的事情。那使用 #{} 有沒有安全問題呢?接下來我們來測試一下。

3.2 使用 #{} 實現(xiàn)用戶登錄

首先將 UserMapper.xml 中的代碼改成以下內(nèi)容:

<select id="login" resultType="com.example.demo.model.UserInfo">
select * from userinfo where name=#{name} and password=#{password}
</select>

接著我們使用上面的 SQL 注入來測試登錄功能:

@Test
void login() {
UserInfo userInfo = userMapper.login("java", "' or 1='1");
System.out.println(userInfo);
}

最終生成的 SQL 和執(zhí)行結(jié)果如下:

圖片

從上述代碼可以看出,使用 SQL 注入是無法攻破 #{} 的“大門”的,所以可以放心使用。

總結(jié)

${}? 和 #{} 都是 MyBatis 中用來替換參數(shù)的,它們二者的區(qū)別主要體現(xiàn)在:1、功能不同:${}? 是直接替換,而 #{} 是預(yù)處理;2、使用場景不同:普通參數(shù)使用 #{},如果傳遞的是 SQL 命令或 SQL 關(guān)鍵字,需要使用 ${}?,但在使用前一定要做好安全驗證;3、安全性不同:使用 ${} 存在安全問題,而 #{} 則不存在安全問題。

責(zé)任編輯:武曉燕 來源: Java面試真題解析
相關(guān)推薦

2022-08-15 07:06:50

Propertiesyml配置

2022-02-08 07:02:32

進程線程操作系統(tǒng)

2022-08-03 07:04:56

GETHTTPPOST

2022-08-10 07:06:57

IoCDISpring

2022-04-24 07:59:53

synchronizJVMAPI

2023-03-26 21:51:42

2022-04-26 08:02:00

locktryLocklockInterr

2022-05-09 07:37:04

Java非公平鎖公平鎖

2022-10-09 20:52:19

事務(wù)隔離級別傳播機制

2022-03-16 07:33:40

守護線程用戶線程語言

2022-08-29 07:05:02

JSRJava語言

2022-01-11 06:53:23

面試重寫重載

2022-07-18 07:11:35

請求轉(zhuǎn)發(fā)請求重定數(shù)據(jù)共享

2023-02-17 08:02:45

@Autowired@Resource

2023-02-01 07:15:16

2023-02-17 08:10:24

2022-06-13 07:36:06

MySQLInnoDB索引

2024-04-03 15:33:04

JWTSession傳輸信息

2024-09-19 08:42:43

2024-09-24 13:49:13

SQL數(shù)據(jù)庫
點贊
收藏

51CTO技術(shù)棧公眾號

主站蜘蛛池模板: 国产免费一区二区三区 | 色综合国产 | 亚洲精品99 | 国产精品亚洲综合 | 日本久久精品视频 | 欧美久久久久久 | 在线欧美小视频 | 日韩欧美亚洲 | 欧美激情综合五月色丁香小说 | 草久久久| av中文字幕在线 | 成人九区 | 国产欧美一区二区精品久导航 | 日韩毛片在线免费观看 | 91精品免费视频 | 九九热在线视频观看这里只有精品 | 性一交一乱一透一a级 | 国产日产久久高清欧美一区 | 国产欧美一区二区三区在线看 | 国产日韩中文字幕 | 国产美女一区二区 | 羞羞视频在线观看 | 91av在线电影 | 精品国产91 | 97精品超碰一区二区三区 | 99久久免费精品视频 | 天天欧美 | 日韩精品av一区二区三区 | 久久亚洲国产 | 国产精品欧美日韩 | 久久久久精| 欧美日韩中文字幕在线 | 成人亚洲性情网站www在线观看 | 亚洲一区影院 | 国产精品欧美精品 | 欧美福利久久 | 亚洲一区电影 | 国产一区精品 | 日韩在线精品 | 操操日 | 91传媒在线观看 |