当前位置：首页 > news >正文

被拷打已老实！面试官问我 #{} 和 ${} 的区别是什么？

news 2025/7/5 7:26:59

引言：在使用 MyBatis 进行数据库操作时，#{} 和 ${} 的区别是面试中常见的问题，对理解如何在 MyBatis 中安全有效地处理 SQL 语句至关重要。正确使用这两种占位符不仅影响应用的安全性，还涉及到性能优化。

题目

推荐解析

预编译与直接替换

面试官问了我这个问题，直接把我问老实了，求放过，赶忙来写下以下思考：

1）#{}：使用 #{} 时，MyBatis 为 SQL 语句的参数生成一个预编译语句，并通过参数占位符（?）来代替实际的参数值。这种方式是安全的，因为它防止了 SQL 注入攻击，参数值在发送到数据库之前不会被解析为 SQL 的一部分。

如果你有一个查询用户的操作，你可以这样写：

SELECT * FROM users WHERE id = #{userId}

2）${}：相反，使用 ${} 时，参数值被直接替换到 SQL 语句中。这种方式虽然灵活，可以动态替换表名、列名等 SQL 语句的组成部分，但却可能导致 SQL 注入问题，因为参数值如果包含恶意的 SQL 代码也会被执行。

如果你需要动态地选择表名或列名，可以这样使用：

SELECT * FROM ${tableName}

性能考虑

对于性能我得出以下思考：

1）#{} 性能优势：由于使用预编译的 SQL 语句，数据库可以重用相同结构的 SQL 语句，减少编译次数，提高执行效率。

2）${} 性能问题：可能导致每次都要编译新的 SQL 语句，因为 SQL 结构可能因为参数的不同而改变。

类型处理

琢磨琢磨我又发现了新大陆！类型处理~

1）#{} 类型处理：MyBatis 可以根据参数的 Java 类型自动推断数据库类型，处理日期、枚举等复杂类型的转换。

2）${} 类型处理：不进行类型转换，将参数视为纯文本，直接嵌入到 SQL 语句中。

鱼聪明 AI 的回答：

鱼聪明 AI 地址：https://www.yucongming.com/

#{}（参数占位符）

预编译：#{} 表达式使得参数在 SQL 语句中以占位符 ? 的形式出现。这意味着 SQL 语句会被预编译并多次执行，参数值在运行时绑定。这种方式对于数据库性能优化至关重要，因为预编译可以减少数据库编译SQL的次数，提高执行效率。
防止 SQL 注入：由于参数不是直接拼接到 SQL 语句中，而是作为一个绑定的值传递给预编译的 SQL 语句，因此 #{} 防止了 SQL 注入的风险。用户输入被当作字符串处理，不会被执行为 SQL 代码的一部分。
类型安全：MyBatis 能够根据 Java 类型自动推断出相应的 SQL 类型。例如，如果你传递一个 Java Date 对象，MyBatis 会适当地处理它与 SQL 日期类型之间的转换。

${}（SQL 字符串拼接）

直接替换：使用 ${} 时，参数值会在解析 SQL 语句之前直接替换到 SQL 字符串中。这意味着你可以通过 ${} 插入动态表名、列名或者其他 SQL 片段，如动态排序条件。
高风险：${} 由于是直接将参数内容拼接到 SQL 语句中，所以存在 SQL 注入的风险。如果参数值来自不可控的用户输入，那么可能被注入恶意的 SQL 代码。
灵活性：尽管风险较高，${} 在某些场景下是必要的。特别是在 SQL 语句的某些部分无法通过预编译实现，如动态改变表名或某些数据库函数和命令，${} 提供了必要的灵活性。

欢迎交流

当讨论 MyBatis 中的 #{} 和 ${} 占位符时，我们可以从以下几个角度深入探讨它们的概念、区别和实际应用，以便更好地理解它们在数据库操作中的作用：

1）什么是 #{} 和 ${}？它们在 MyBatis 中有什么应用？

2）#{} 和 ${} 的工作原理是什么？

3）#{} 和 ${} 在实际应用中的选择标准是什么？

被拷打已老实！面试官问我 #{} 和 ${} 的区别是什么？

引言：在使用 MyBatis 进行数据库操作时，#{} 和 ${} 的区别是面试中常见的问题，对理解如何在 MyBatis 中安全有效地处理 SQL 语句至关重要。正确使用这两种占位符不仅影响应用的安全性，还涉及到性能优化。题目被拷打已老实&…...

编程日记 2024/6/20 5:44:24

C# —— while循环语句

作用让顺序执行的代码可以停下来循环执行某一代码块 // 条件分支语句: 让代码产生分支进行执行 // 循环语句 : 让代码可以重复执行语法 while循环 while (bool值) { 循环体(条件满足时执行的代码块) …...

编程日记 2024/6/20 5:42:21

力扣第205题“同构字符串”

在本篇文章中，我们将详细解读力扣第205题“同构字符串”。通过学习本篇文章，读者将掌握如何使用哈希表来解决这一问题，并了解相关的复杂度分析和模拟面试问答。每种方法都将配以详细的解释，以便于理解。问题描述力扣第205题“…...

编程日记 2024/6/20 5:41:20

探索RESTful API开发，构建可扩展的Web服务

介绍当我们浏览网页、使用手机应用或与各种互联网服务交互时，我们经常听到一个术语：“RESTful API”。它听起来很高深，但实际上，它是构建现代网络应用程序所不可或缺的基础。什么是RESTful API？ 让我们将RESTful …...

编程日记 2024/6/20 5:40:18

苹果安卓网页的H5封装成App的应用和原生开发的应用有什么不一样？

H5封装类成App的应用和原生应用有什么不一样？——一对比谈优缺点 1. 开发速度和复用性 H5封装的App优势：一次编写，多平台运行。你只需要使用一种语言编写代码，就可以发布到不同的平台，降低开发成本。原生应用优势&…...

编程日记 2024/6/20 5:38:16

字符流-->字符流的底层其实就是字节流 public class Stream {public static void main(String[] args) throws IOException {//1.创建对象并关联本地文件FileReader frnew FileReader("abc\\a.txt");//2.读取资源read()int ch;while((chfr.read())!-1){System.out…...

编程日记 2024/6/20 5:37:15

详解MySQL中的PERCENT_RANK函数

目录 1. 引入1. 基本使用2：分组使用3：处理重复值4. 使用优势4.1 手动计算百分等级4.2 使用 PERCENT_RANK 的优势4.3 使用 PERCENT_RANK 5. 总结在 MySQL 中，PERCENT_RANK 函数用于计算一个值在其分组中的百分等级。它的返回值范围是从 0 …...

编程日记 2024/6/20 5:36:13

宏任务与微任务

一、宏任务 1、概念指消息队列中等地被主线程执行的事件 2、种类 script主代码块、setTimeout 、setInterval 、nodejs的setImmediate 、MessageChannel（react的fiber用到）、postMessage、网络I/O、文件I/O、用户交互的回调等事件、UI渲染事件&#x…...

编程日记 2024/6/20 5:33:09

昇思大模型学习·第一天

mindspore快速入门回顾导入mindspore包处理数据集下载mnist数据集进行数据集预处理 MnistDataset()方法train_dataset.get_col_names() 打印列名信息使用create_tuple_iterator 或create_dict_iterator对数据集进行迭代访问网络构建 mindspore.nn: 构建所有网络的基类用…...

编程日记 2024/6/20 5:32:08

python调用chatgpt

简单写了一下关于文本生成接口的调用，其余更多的调用方法可在官网查看 import os from dotenv import load_dotenv, find_dotenv from openai import OpenAI import httpxdef gpt_config():# 为了安全起见，将key写到当前项目根目录下的.env文件中# find…...

编程日记 2024/6/20 5:31:07

YOLOV8 目标检测：训练自定义数据集

1、下载 yolov8项目：ultralytics/ultralytics：新增 - PyTorch 中的 YOLOv8 🚀 > ONNX > OpenVINO > CoreML > TFLite --- ultralytics/ultralytics: NEW - YOLOv8 🚀 in PyTorch > ONNX > OpenVINO > CoreM…...

编程日记 2024/6/20 5:30:05

动态更新自建的Redis连接池连接数量

/*** 定时更新Redis连接池信息，防止资源让费*/private static final ScheduledThreadPoolExecutor DYNAMICALLY_UPDATE_REDIS_POOL_THREAD new ScheduledThreadPoolExecutor(1, new ThreadFactory() {Overridepublic Thread newThread(Runnable r) {Thread thread …...

编程日记 2024/6/20 5:29:04

浅谈设计师的设计地位

在当今这个创意无限的时代，设计师的地位日益凸显。他们以独特的视角和精湛的技能，为我们的生活带来了无尽的色彩与灵感。然而，随着行业的不断发展，设计师如何在众多同行中脱颖而出，提升自己的设计地位呢？答…...

编程日记 2024/6/20 5:28:02

C/C++ string模拟实现

1.模拟准备 1.1因为是模拟string，防止与库发生冲突，所以需要命名空间namespace隔离一下，我们来看一下基本内容 namespace yx {class string{private://char _buff[16]; lunix下小于16字节就存buff里char* _str;size_t _size;size_t _capac…...

编程日记 2024/6/20 5:27:01

微信小程序学习（八）：behaviors代码复用

小程序的 behaviors 方法是一种代码复用的方式，可以将一些通用的逻辑和方法提取出来，然后在多个组件中复用，从而减少代码冗余，提高代码的可维护性。如果需要 behavior 复用代码，需要使用 Behavior() 方法&#xff0c…...

编程日记 2024/6/20 5:26:00

【The design pattern of Attribute-Based Dynamic Routing Pattern (ADRP)】

In ASP.NET Core, routing is one of the core functionalities that maps HTTP requests to the corresponding controller actions. While “Route-Driven Design Pattern” is a coined name for a design pattern, we can construct a routing-centric design pattern base…...

编程日记 2024/6/20 5:24:59

被拷打已老实！面试官问我 #{} 和 ${} 的区别是什么？

题目

推荐解析

预编译与直接替换

性能考虑

类型处理

推荐文章和书籍

欢迎交流

相关文章：

被拷打已老实！面试官问我 #{} 和 ${} 的区别是什么？

C# —— while循环语句

力扣第205题“同构字符串”

探索RESTful API开发，构建可扩展的Web服务

苹果安卓网页的H5封装成App的应用和原生开发的应用有什么不一样？

IO流2.

详解MySQL中的PERCENT_RANK函数

宏任务与微任务

昇思大模型学习·第一天

python调用chatgpt

YOLOV8 目标检测：训练自定义数据集

动态更新自建的Redis连接池连接数量

浅谈设计师的设计地位

C/C++ string模拟实现

微信小程序学习（八）：behaviors代码复用

【The design pattern of Attribute-Based Dynamic Routing Pattern (ADRP)】

2713. 矩阵中严格递增的单元格数

git创建子模块

把Deepin塞进U盘，即插即用！Deepin To Go来袭

给【AI硬件】创业者的论文、开源项目和产品整理

从深圳崛起的“机器之眼”：赴港乐动机器人的万亿赛道赶考路

关于iview组件中使用 table , 绑定序号分页后序号从1开始的解决方案

Objective-C常用命名规范总结

《用户共鸣指数（E）驱动品牌大模型种草：如何抢占大模型搜索结果情感高地》

Ascend NPU上适配Step-Audio模型

ios苹果系统，js 滑动屏幕、锚定无效

Spring数据访问模块设计

iview框架主题色的应用

华为OD最新机试真题-数组组成的最小数字-OD统一考试（B卷）

水泥厂自动化升级利器：Devicenet转Modbus rtu协议转换网关