面试-3.MyBatis中#与$的区别,PrepareStatement

最新推荐文章于 2024-04-05 01:59:40 发布
原创 最新推荐文章于 2024-04-05 01:59:40 发布 · 1k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#Mybatis

本文详细解析了MyBatis框架中#与$符号在SQL参数处理上的区别,强调了#作为预编译参数的安全性,对比${}

MyBatis中#与$的区别

0.c 防止sql 注入

举个例子:

	String sql = "select id from t_user where name =?";  

	PreparedStatement prep = conn.prepareStatement(sql);  
	prep.setString(1, name);  
    ResultSet rst = prep.executeQuery();
  • 使用PrepareStatement时,SQL语句在程序运行前已经进行了预编译,在程序运行时第一次操作数据库之前,SQL语句已经被数据库分析和编译,对应的执行计划也会缓存下来,之后数据库就会以参数化的形式进行查询。当运行时动态地把参数传给PreprareStatement时,即使参数里有敏感字符如上图中 or ‘1=1’,它也会作为一个字段的值来处理,而不会作为一个SQL指令。从根本上讲,其实就是data VS. code的问题,确保data永远是data,不会是可执行的code,就杜绝了SQL注入这种问题。
1.MyBatis

MyBatis中使用parameterType向SQL语句传参,parameterType支持的类型可以是基本类型int,String,HashMap和java自定义类型。

在SQL中引用这些参数的时候,可以使用两种方式:

  • #{parameterName}

  • ${parameterName}

mybatis对这两种参数的处理分为两个阶段,

     首先为构建sqlsessionFactory的时候,这个时候的处理为,如果sql中含有${}则该条sql不做处理,如果sql中全是#{}则替换为 ? 。

     然后是sqlSession执行sql阶段,该阶段首先会将${value} 原封不动的替换为 value传过来的值,然后在将sql中的#{} 替换为 ? 。

2.总结

  • ${} 会将传入的参数完全拼接到sql语句中,也就是相当于一个拼接符号。比如说 : String sql = select * from user where id=${value}
          最后的处理方式就相当于 MyBatis 会将 ${value} 完全替换为参数 value 的值。 相当replace("${value}", value)的过程。实际上mybatis 是先将sql转成char数组,然后截取 "KaTeX parse error: Expected '}', got 'EOF' at end of input: …的部分放入到容器,替换 以"{"开头 以 "}"结尾的内容。所以说它的作用相当于拼接符号。拼接后直接作为sql语句的一部分,所以如 果参数是可执行代码,sql是会直接执行的。这就是为什么它会导致sql注入。

  • #{} 是一个占位符, mybatis最后会将这个占位符,替换成?,最后才进行prepareStatement的相应位置的?的替换,也就是 state.setString(序号,值),setInt(序号,值)等。

使用#{}传递参数,被JDBC解析为PreparedStatement预编译语句,变量内容被当做一个整体变量,比如字符串,整形等。使用${}传递参数,纯粹是字符串替换,中间出现SQL语句,也会被正常执行。所以,在Mybatis中使用使用$传递参数时,需要考虑sql注入的问题。

Tips:
      ${}方式一般用于传入数据库对象,例如传入表名、字段名。
      排序时使用order by 动态参数时需要注意,用${}而不是 #{}。

【2024最新精简版】MyBatis面试
A的博客
06-15 1477
ORM又叫对象关系映射 , 建立实体对象和数据库表之间的映射关系。开发者操作对象就相当于操作数据库 , 自动生成相关的SQL语句实现对数据库的操作Hibernate(Nhibernate):Hibernate是最早的Java ORM框架之一,支持将对象映射到关系数据库中。提供了自动映射、事务管理、连接管理等功能。MyBatisMyBatis提供了更加灵活的SQL语句编写方式,支持动态SQL语句生成和参数绑定等功能。是一个半自动化的ORM框架。
完整版JavaWeb环境搭建-maven-servlet...测试,欢迎大家一起学习【狂神说】
黑妖问路的博客
11-15 2806
JavaWeb java Web 前端–>Mysql IDEA版本2020.1.2 1.基本概念 1.1前言 web开发: web:网页的意思 静态web html、css 提供给所有人看的数据始终不会发生变化! 动态web 提供给所有人看的数据会发生变化!(每个人在不同的时间、不同的地点,看到的信息各不相同!) 淘宝,几乎所有的网站; 技术栈:Servlet/JSP、ASP、PHP 在java中,动态web资源开发的技术统称为javaweb; 1.2、Web应用程序 web应用
SQL注入 mybatis#{} ${} statement preparestatement
weixin_39590058的博客
04-01 368
一个sql 是经过解析器编译并执行,注意这里是一个并字。 ${} select * from account where username = ${username} and password = ${password} limit 10 如果为username 传参数 '1' or 1=1 # password aaa 上述sql语句经过编译并执行就变成了 **参数参了编译** s...
mybatis #{}相当于prepareStatement,${}相当于Statement
91奔跑的蜗牛
12-02 955
场景,测试下prepareStatement 和Statement 拼接 in 条件的情况。 prepareStatement 正常写法,执行成功 public static void main(String[] args) throws Exception{ Connection conn = JdbcUtils.getConn(); PreparedStatement ...
Mybatis-#{xxx}和${xxx}的区别&&PreparedStatement和Statement的区别
qq_25243147的博客
04-05 259
#{xxx}:Mybatis首先对SQL语句进行预编译,再设置参数,最后交给数据库执行,能防止SQL注入。 ${xxx}:Mybatis首先将参数和SQL语句进行拼接,再交给数据库进行编译和执行。一般用于传输关于表或字段信息的值 预编译:PreparedStatement对象先将SQL语句发送给数据库服务器来进行预编译(SQL语句分析、优化),预编译前用占位符替代参数。预编译后会返回SQL语句模板,再次只需SQL时使用只需设置参数,数据库服务器不需要进行分析、优化。 预编译的优点: (1)提高SQL执行.
mybatis通过#{}、${}取值区别
weixin_43808717的博客
04-25 133
Statement执行SQL时是直接使用参数替换赋值的。 PrepareStatement执行SQL时是进行预编译将每一个参数转为 ? 然后如果set方法设置参数值。 使用#{}可以有效的防止 SQL 注入,提高系统安全可靠性。 ${} 和 #{}的区别其实就是 Statement 和 PrepareStatement区别,无论mybatis框架最后给我们封装成什么样其实底层都是JDBC的原理。 ...
【JDBC】PreparedStatement防止SQL注入的原理、MyBatis#$区别
ACTIM的博客
07-20 478
1. PreparedStatement防止SQL注入的原理 众所周知,JDBC中可以使用PreparedStatement防止sql注入,那么PreparedStatement是如何防止sql注入呢?让我们先来看一下源码: /** * Set a parameter to a Java String value. The driver converts this to a SQL...
MyBatis中的#$有什么区别
关注我!带你一路 "狂飙" 到底!
02-08 4952
MyBatis是一款优秀的持久层框架,特别是在国内(国外据说还是 Hibernate 的天下)非常的流行,我们常说的SSM组合中的M指的就是MyBatisMyBatis支持定制化SQL、存储过程以及高级映射等多种特性,单纯从代码上来看,MyBatis避免了几乎所有的JDBC代码和手动设置参数以及手动处理结果集。而且MyBatis的使用也非常方便,可以通过简单的XML或注解来配置和映射数据信息。对MyBatis不熟悉的小伙伴,可以私信百泽老师,我们有免费的MyBatis手把手教学视频送给你哦~
2. Mybatis流程
努力学习
07-30 400
读取配置文件mybatis-config.xml(回去加载我们的mapper.xml文件), 创建sqlSessionFactory 获取sqlSession 获取对应 被代理的 mapper 执行查询语句并返回单条数据 执行查询语句并返回多条数据 mybatis核心流程三大阶段 初始阶段,代理阶段, 数据读取阶段类图Director其实就是客户端, 理解成客户端, 发现类图理解变简单了, , 其实也是一种流式编程(链式编程)Builder接口 具体的建造者, 如果不要接口, 简化的类图其实就是建造者和产
MybatisMybatis-Plus面试
rongyao_zhansheng的博客
07-14 729
用于快速准备面试
Mybatis详细教程
05-13
Mybatis详细讲解教程,适用于新手学习应用
MyBatis 中的 PreparedStatement 预编译,不是你想的那么简单!
Java精选
06-15 2591
前言大家都知道,Mybatis内置参数,形如#{xxx}的,均采用了sql预编译的形式,大致知道mybatis底层使用PreparedStatement,过程是先将带有占位符(即”?”)的sql模板发送至mysql服务器,由服务器对此无参数的sql进行编译后,将编译结果缓存,然后直接执行带有真实参数的sql。如果你的基本结论也是如此,那你就大错特错了。目录mysql是否默...
Mybatis源码之Statement处理器StatementHandler(一)
井底之蛙
09-24 4028
StatementHandler通过类名我们可以了解到它可能是Statement的处理器,它是一个接口,其实现类如下: BaseStatementHandler:一个抽象类,只是实现了一些不涉及具体操作的方法 RoutingStatementHandler:类似路由器,根据配置文件来路由选择具体实现类SimpleStatementHandler、CallableStatementHan
2、PrepareStatement 和 Statement的区别
11-11 570
场景再现: 我一直以为只是面试时会遇到的小知识点,结果刚刚工作的我就发现项目中的一个小程序,用的Statement。所以回顾他们有什么区别? 答案: 1、都是接口,但PrepareStatement 继承了Statement。 2、PrepareStatement 可以使用占位符,用“?”占位,是预编译时期替换为 值。批处理比Statement高。而Statement只能执行静态sql,即:字符串 3PrepareStatement 使用方法: Statement使用方法: .
MyBatis源码分析(二)prepareStatement预编译的执行流程
lz710117239的博客
06-16 3502
通常我们如果自己写建立数据库连接的代码的时候,都会这么写 pstmt = conn.prepareStatement(sql); pstmt.setString(1, email); result = pstmt.executeQuery(); 而Mybatis是怎么封装,又是怎么进行预编译的呢,今天就一文让你理解Mybatis的原理 一、获取Executor 我们之前一篇文章《MyBatis源码分析(一)基本请求流程》讲了Mybatis执行的基本流程,包括Plugin插件。 其实在执行过程中,所有的sq
MyBatis 6】Statement
VIP129370的博客
04-05 443
将一批命令提交给数据库来执行,如果全部命令执行成功,则返回更新计数组成的数组对于batch操作,简单说就是有一个列表,保存了执行命令。add是添加方法,clear就是清空方法,execute就是执行列表内命令。如下面示例,将1000个“张三”分十次插入数据库:for(int i=0;i
以mysql为例介绍PreparedStatement防止sql注入原理
lisehouniao的博客
05-28 9991
最近,在写程序时开始注意到sql注入的问题,由于以前写代码时不是很注意,有一些sql会存在被注入的风险,那么防止sql注入的原理是什么呢?我们首先通过PrepareStatement这个类来学习一下吧! 作为一个IT业内人士只要接触过数据库的人都应该知道sql注入的概念及危害,那么什么叫sql注入呢?我在这边先给它来一个简单的定义:sql注入,简单来说就是用户在前端web页面输入恶意的sql语句用
mybatis入门基础
LP_5371的博客
06-19 355
1.Mybatis基础 了解: 框架介绍: 框架是一款半成品软件,我们可以基于这个半成品软件继续开发,来完成我们个性化的需求! ORM 介绍: ORM(Object Relational Mapping):对象关系映射 指的是持久化数据和实体对象的映射模式,为了解决面向对象关系型数据库存在的互不匹配的现象的技术 1.1原始jdbc操作(查询数据) //注册驱动 Class.forName("com.mysql.jdbc.Driver"); //获取连接 Connection...
MyBatis
敲代码的彭于晏
09-22 948
1、#{}和${}的区别是什么? Mybatis在处理#{}时,会将sql中的#{}替换为?号,调用PreparedStatement的set方法来赋值;mybatis在处理${}时,就是将${}替换成变量的值. PS:使用#{}可以有效的防止SQL注入,提高系统安全性(语句的拼接),如果使用在order by 中就需要使用 ${}。 最大区别在于:#{} 传入值时,sql解析参数是带引号的,而${}传入值时,sql解析参数是不带引号的。 --Mybatis在处理#{}时 select id,na
Java数据库面试
最新发布
05-30
<think>嗯,用户之前问过JVM调优的常用参数,现在又转向了Java和数据库相关的面试题。需要结合之前的对话和新的引用内容来生成相关的问题和答案。首先,用户提供的引用内容里提到了数据库事务的原子性、SQL查询的例子,以及Oracle和MySQL存储结构的区别。这可能暗示用户希望面试题涵盖事务、SQL操作、数据库引擎比较等方面。接下来,我需要确保回答符合用户的要求,包括结构清晰、使用中文、正确引用文献,并且生成相关问题。还要注意数学公式和代码块的格式,比如用$符号包裹行内公式,独立公式用$$,代码块用正确的语法高亮。用户之前的JVM问题涉及参数和调优,现在转向Java和数据库,可能需要涵盖JDBC、事务管理、连接池、ORM框架(如MyBatis和Hibernate)、数据库锁机制、SQL优化、索引、NoSQL等。同时,结合引用中的内容,比如事务的原子性,可以设计相关问题。另外,引用中提到的Oracle表空间和MySQL存储引擎的区别,也需要包括进去。需要确保每个问题都有对应的答案,并且答案中正确引用提供的引用内容。例如,在解释事务的ACID属性时,引用[1]中的原子性部分。在讨论MySQL存储引擎时,引用[3]的内容。SQL查询的例子可以参考引用[2]中的子查询。同时,生成的相关问题应该围绕Java和数据库的常见面试点,比如事务隔离级别、Spring事务管理、数据库连接池、索引优化、锁机制、ORM框架对比、分库分表策略等。还要注意用户可能需要的实际应用场景和问题解决方法,比如如何解决慢查询、如何处理事务失效等。最后,检查格式是否符合要求,数学表达式是否正确使用LaTeX,代码块是否正确标记语言,引用标识是否自然添加,以及是否生成了相关问题。确保没有使用任何Markdown格式,而是用纯文本实现结构清晰。</think>### Java数据库常见面试题解析 以下是Java数据库方向的典型面试题及解析,结合ACID事务原理、SQL优化和数据库引擎差异等核心知识点整理[^1][^3]。 --- #### **1. 事务的ACID特性是什么?** - **原子性(A)**:事务中的所有操作要么全部成功,要么全部失败回滚(如引用[1]中描述的撤销机制)。 - **一致性(C)**:事务执行前后数据库状态必须合法(如转账前后总金额不变)。 - **隔离性(I)**:并发事务之间互不干扰(通过锁或MVCC实现)。 - **持久性(D)**:事务提交后数据永久存储(通过日志持久化实现)[^1]。 --- #### **2. 如何优化SQL查询性能?** - **索引优化**:对WHERE、JOIN字段添加索引,避免全表扫描。 - **避免SELECT ***:仅查询需要的字段,减少数据传输量。 - **分页优化**:使用`LIMIT`或`ROW_NUMBER()`替代低效的`OFFSET`。 - **子查询优化**:如引用[2]中的子查询示例,可改写为JOIN操作: ```sql SELECT a.S# FROM SC a JOIN SC b ON a.S# = b.S# WHERE a.C#=&#39;001&#39; AND b.C#=&#39;002&#39; AND a.score > b.score; ``` --- #### **3. MySQL的InnoDBMyISAM引擎区别?** - **事务支持**:InnoDB支持ACID事务,MyISAM不支持(如引用[3]中对比)。 - **锁机制**:InnoDB支持行级锁,MyISAM仅表级锁。 - **外键**:InnoDB支持外键约束,MyISAM不支持。 - **存储结构**:InnoDB使用聚集索引(数据索引绑定),MyISAM使用非聚集索引。 --- #### **4. Java中如何防止SQL注入?** - **预编译语句(PreparedStatement)**: ```java String sql = "SELECT * FROM users WHERE username = ?"; PreparedStatement stmt = connection.prepareStatement(sql); stmt.setString(1, userInput); ``` - **避免拼接SQL**:禁止使用字符串拼接生成SQL语句。 - **ORM框架**:使用MyBatis/Hibernate的参数化查询。 --- #### **5. 数据库连接池的作用及参数配置** - **作用**:复用连接,减少频繁创建/销毁连接的开销。 - **关键参数**: - `maxPoolSize`:最大连接数(根据并发量设置)。 - `minIdle`:最小空闲连接数(避免突发请求延迟)。 - `maxWait`:获取连接的最大等待时间。 - **常见实现**:HikariCP、Druid。 --- #### **6. Spring事务失效的常见场景** - **非public方法**:`@Transactional`注解在非public方法上失效。 - **异常类型不匹配**:默认仅回滚`RuntimeException`,需通过`rollbackFor`指定。 - **同一类内方法调用**:AOP代理失效,需通过`AopContext.currentProxy()`调用。 --- #### **7. 数据库索引的B+树结构优势** - **范围查询高效**:叶子节点形成链表,适合范围扫描(如`WHERE id > 100`)。 - **高度平衡**:树高较低,减少磁盘I/O次数(对比B树)。 - **数据全在叶子节点**:非叶子节点仅存键值,可容纳更多分支。 --- ### 代码示例:JDBC事务管理 ```java Connection conn = dataSource.getConnection(); try { conn.setAutoCommit(false); // 关闭自动提交 Statement stmt = conn.createStatement(); stmt.executeUpdate("UPDATE account SET balance = balance - 100 WHERE user = &#39;A&#39;"); stmt.executeUpdate("UPDATE account SET balance = balance + 100 WHERE user = &#39;B&#39;"); conn.commit(); // 提交事务 } catch (SQLException e) { conn.rollback(); // 回滚事务 } finally { conn.close(); } ``` ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值