Mybatis 面試之 #{}和${}

原創 金箍一梦何来愁 2020-06-10 18:34

情況一:只用  #{}

  <select id="getUserByNameAndPsw" resultType="com.hotel3.model.User">
        select * from USER where userName=#{userName} and userPassword =#{userPassword};
  </select>

 結果:

 ==>  Preparing: select * from USER where userName=? and userPassword =?; 
 ==>  Parameters: mww(String), 123(String)
 <==  Total: 1

 結論:

    #{}會在預編譯期,生成兩個  ?,作爲佔位符。

 

情況二:一個用  ${} 一個用 #{}

  <select id="getUserByNameAndPsw" resultType="com.hotel3.model.User">
        select * from USER where userName=${userName} and userPassword =#{userPassword};
  </select>

  結果:

 ==>  Preparing: select * from USER where userName=mww and userPassword =?; 
 ==>  Parameters: 123(String)

  結論:很顯然  ${}  是直接拼成字符串的 ,#{}  是生成  ?佔位符的。

     而且 因爲  userName:mww 是字符串,所以 這種寫法顯然也是錯誤的。

     會報出如下錯誤:

### Error querying database.  Cause: java.sql.SQLSyntaxErrorException: Unknown column 'mww' in 'where clause'

  所以正確的寫法是這樣的:爲字符串字段加上單引號 ' '

<select id="getUserByNameAndPsw" resultType="com.hotel3.model.User">
        select * from USER where userName='${userName}' and userPassword =#{userPassword};
</select>

  結果:

 ==>  Preparing: select * from USER where userName='mww' and userPassword =?; 
 ==>  Parameters: 123(String)
 <==  Total: 1

  結論:顯然這種寫法是正確的,從這裏可以看出,預編譯期   ${}  是直接把參數拼結到SQL中,

     運行時,就只傳入了一個 #{} 修飾的參數。

     ${}的這種寫法還有一個安全隱患,那就是 SQL注入。

 

情況三: ${}   SQL注入:

  <select id="getUserByNameAndPsw" resultType="com.hotel3.model.User">
        select * from USER where userName='${userName}' and userPassword =#{userPassword};
  </select>

  結果:

 ==>  Preparing: select * from USER where userName='' OR 1=1 OR '' and userPassword =?; 
 ==>  Parameters: 65787682342367(String)
 <==  Total: 2

  結論:只要我們在  ${}  輸入   ' OR 1=1 OR '   無論後面的密碼輸入什麼都可以,查詢到數據,這種情況就是SQL注入。

 

 情況四:#{}  防止SQL注入

  <select id="getUserByNameAndPsw" parameterType="map" resultType="com.hotel3.model.User">
        select * from USER where userName=#{userName} and userPassword =#{userPassword};
  </select>

  結果:

 ==>  Preparing: select * from USER where userName=? and userPassword =?; 
 ==>  Parameters: ' OR 1=1 OR '(String), 123(String)
 <==  Total: 0

  結論:上面預編譯SQL的參數已經由佔位符 { ?} 代替,所以傳入的  ' OR 1=1 OR '  只會作爲  userName字段的值,

     而不會拼入執行的SQL。這樣就達到了防止SQL注入的目的。

 

在這種用法中, #{} 顯然比 ${} 用法更好。

那 ${} 爲什麼經常在  Mybatis  使用那?

 

${}正確用法(個人見解):

  1、同時傳入一個字段名和字段值:

User u=userService.getUserByNameAndPsw("userName,userType,userPassword",userName,userPassword);

    SQL: select ${arg0} from USER

  <select id="getUserByNameAndPsw" resultType="com.hotel3.model.User">
        select ${arg0} from USER where userName=#{userName} and userPassword =#{userPassword};
  </select>

    結果:

 ==>  Preparing: select userName,userType,userPassword from USER where userName=? and userPassword =?; 
 ==>  Parameters: mww(String), 123(String)
 <==  Total: 1

    結論:

      生成了我們想要SQL語句 :select userName,userType,userPassword from USER。。。。

 

   2、傳入兩個字段名和字段值:

User u=userService.getUserByNameAndPsw("userName,userType,userPassword",userName,userName,userPassword);

    SQL:  select ${arg0} from USER where ${arg1}=#{userName}

  <select id="getUserByNameAndPsw" resultType="com.hotel3.model.User">
        select ${arg0} from USER where ${arg1}=#{userName} and userPassword =#{userPassword};
  </select>

    結果:

 ==>  Preparing: select userName,userType,userPassword from USER where userName=? and userPassword =?; 
 ==>  Parameters: mww(String), 123(String)
 <==  Total: 1

    結論:

      按照傳參的順序匹配 SQL 中的 ${arg0},${arg1}。。。

      生成我們想要的代碼,但這個方式會使Mybatis 的 Mapper 文件可讀性變差,

      如果不看其他的代碼,很難辨別  ${arg0} ,${arg1} 代表的含義。

   3、使用Map傳值,提高 Mapper 文件的可讀性

 

     Map map =new HashMap();
        map.put("selectValues","userName,userType,userPassword");
        map.put("userNamefieId","userName");
        map.put("userName",userName);
        map.put("userPassword",userPassword);
        User u=userService.getUserByNameAndPsw(map);

 

    Mapper 文件的 xml

  <select id="getUserByNameAndPsw" parameterType="map" resultType="com.hotel3.model.User">
        select ${selectValues} from USER where ${userNamefieId}=#{userName} and userPassword =#{userPassword};
  </select>

    結果:

 ==>  Preparing: select userName,userType,userPassword from USER where userName=? and userPassword =?; 
 ==>  Parameters: mww(String), 123(String)
 <==  Total: 1

    結論:

      結果和arg0、arg1的傳值方式相同,但 Mapper 文件的 xml 中的SQL語句可以

      通過對 map 中 key 值命名提高可讀性

 

  注:以上SQL,均爲預編期生成的SQL。

  注2:${} 每次傳值不同 SQL 語句不同,可以靈活生成 SQL, 

     但每次都需要進行預編譯,對效率會有影響,至於要不要使用 ${}還要具體情況具體分析。

 

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

Spring開發:動態代理的藝術與實踐

本文分享自華爲雲社區《Spring高手之路17——動態代理的藝術與實踐》,作者: 磚業洋__。 1. 背景 動態代理是一種強大的設計模式,它允許開發者在運行時創建代理對象,用於攔截對真實對象的方法調用。這種技術在實現面向切面編程(AOP)

原創 2024-04-16 22:33:07

代碼生成器之如何快速生成後端接口

前言 在現代軟件開發中,重複性的增刪改查邏輯代碼的編寫往往非常耗時且容易出錯。爲了提高開發效率,減少手動維護的成本,代碼生成器就成爲了一個非常重要的工具,本文小編就將爲大家介紹一下如何利用一個開源項目快速生成數據接口。 實現方式 環境準備

原創 2024-03-11 23:29:01

mybatis使用,UpdateWrapper時間更新問題

//批量更訂單刪除狀態:需要set時間 NeoCrmOrder updateNeoCrmCustomer = new NeoCrmOrder(); return neoCrmOrderMapper.update(updateNeoCrmCu

原創 2024-03-08 00:44:23

迄今爲止最完整的DDD實踐

一、爲什麼需要DDD 複雜系統設計:系統多,業務邏輯複雜,概念不清晰,有什麼合適的方法幫助我們理清楚邊界,邏輯和概念? 多團隊協同:邊界不清晰,系統依賴複雜,語言不統一導致溝通和理解困難。有沒有一種方式把業務和技術概念統一,大家用一種語

原創 2023-08-24 00:29:34

crabc-源碼閱讀記錄

crabc 項目地址: https://gitee.com/linebyte/crabc.git 一、接口地址匹配功能 控制器 匹配 /api/web 開頭的請求,參數通過 @RequestParam Map<String, Object

原創 2023-08-11 23:59:49

【架構與設計】常見微服務分層架構的區別和落地實踐

作者:京東科技 康志興 前言 從強調內外隔離的六邊形架構,逐漸發展衍生出的層層遞進、注重領域模型的洋蔥架構,再到和DDD完美契合的整潔架構。架構風格的不斷演進,其實就是爲了適應軟件需求越來越複雜的特點。 可以看到,越現代的架構風格越傾向於

原創 2023-04-18 12:00:15

StarRocks簡單使用

從clickhouse遷移到StarRocks,研究討論後,決定使用flink進行kafka同步到StarRocks 1、數據模型 StarRocks 的數據模型主要分爲3類: Aggregate,聚合模型 Unique,主鍵模型 Dup

原創 2023-03-29 21:24:49

Mybatis的五種分頁方式詳解

  第一種:LIMIT關鍵字 1,mapper代碼 select * from tb_user limit #{pageNo}, #{pageSize} 2,業務層直接調用 public List findByPageInfo

原創 2023-03-27 00:18:32

MyBatis轉義符號問題集

MyBatis轉義符號問題集 MyBatis 在XML文件、註解中編寫sql語句時,對於>=、<=、<等符號需要轉義後或使用 <![CDATA[]]>包裹(註解中無法使用)才正常使用 下面代碼片段沒有對<=符號進行轉義,無法正常運行 ...

原創 2023-02-25 13:09:19

IDEA插件Easy Code自定義模板

EasyCode 介紹 EasyCode是基於IntelliJ IDEA Ultimate版開發的一個代碼生成插件,主要通過自定義模板(基於velocity)來生成各種你想要的代碼。 通常用於生成Entity、Dao、Service、C

荼靡旖旎 2023-02-25 00:26:51

Mybatis源碼解析06-關鍵組件ParameterHandler

ParameterHandler顯然是用來處理參數的,主要是用來設置PreparedStatement的參數,接口只有兩個方法,一個是獲取參數對象,一個是設置PreparedStatement的參數。PreparementStatement

原創 2023-02-14 23:57:34

Mybatis源碼解析-配置、啓動加載

mybatis是目前非常流行的ORM框架,在其基礎上還衍生了mybatis-plus)等優秀的框架。mybatis簡單,易用,易擴展。 接下來我們用一個簡單的例子(幾乎包含所有配置)來看一下mybatis相關的配置項 下面是一個包含用戶、商

原創 2023-01-19 23:36:19

開源十年,AOSuite 開發平臺停止維護 [EOL]

AOSuite 是我在 2006 - 2016 年間開發和維護的一節開源項目。那還是一個 jQuery UI 和 ExtJS 橫行的年代。現在想來還滿滿都是回憶。隨着前端技術的發展和後端微服務技術的流行,AOSuite 到了該退場的時候了。

原創 2022-12-24 22:05:18

IDEA 插件整理

p3c 代碼規範檢查 CharAutoReplace 中英文字符自動切換 CodeGlance 代碼整體預覽 Frame Switcher 窗口切換 Free Mybatis mybatis 插件 GenerateAllSetter 自動生

原創 2022-04-30 13:23:42

基於h2數據庫使用mybatis-generator-maven-plugin生成代碼實踐-註解版

背景 在一般用到mybatis的項目中,大家一般都習慣用mybatis-generator直連數據庫來生成mapper文件和java代碼,然後再根據實際情況對項目中已有的mapper文件和java代碼進行調整,這樣做可能會存在2個問題:

原創 2022-04-30 12:42:21