MyBatis是一款優(yōu)秀的開源持久層框架,支持自定義SQL查詢、存儲過程和高級映射,相信很多小伙伴都在使用。在MyBatis中,我們可以在XML中編寫SQL語句,然后綁定到JAVA方法中,通過參數(shù)和結(jié)果集的自動映射來實現(xiàn)復(fù)雜的查詢邏輯。MyBatis消除了幾乎所有JDBC操作和手動綁定參數(shù)操作,使用起來非常方便!因此MyBatis也同樣是面試官常問的知識模塊之一,其中MyBatis中#{}與${}的區(qū)別就是其中經(jīng)典的面試題,接下來這,我們就進行展開,詳細(xì)進行介紹其中的區(qū)別。
一、簡單解答
#{}:Mybatis中#傳遞參數(shù)底層使用PreparedStatement對象,使用占位符方式,相對安全。
${}:Mybatis中$傳遞參數(shù)底層使用Statement對象,字符串拼接方式,相對不安全。
以上就是MyBatis中#{}與${}的區(qū)別,當(dāng)面試官問到時,回答以上內(nèi)容一般就OK了。當(dāng)然如果面試官問到PreparedStatement和Statement又什么區(qū)別,那就:
Statement:底層傳遞SQL參數(shù)時,使用拼接SQL方式,存在SQL注入安全隱患.
PreparedStatement:底層傳遞SQL參數(shù)時,使用?【占位符】方式,相對安全。
可能有人會問什么是SQL注入?我們舉一個簡單的例子,比如我們簡單的登錄注冊功能,輸入賬號和密碼,我們調(diào)用SQL語句 select count(1) from table where username = 'username' and password = 'password'。查詢到數(shù)據(jù)才可以是登錄成功,否則表示登陸失敗,但是會有這么一種情況,我們的SQL語句是由我們拼接的,如果用戶故意輸入可以讓后臺解析失敗的字符串,這就是SQL注入,例如我們輸入密碼,輸入 '''' ' or 1=1'' 這樣,他會在后臺進行拼接成select count(1) from table where username = 'username' and password = '' or 1=1;相當(dāng)于后面拼接了一個恒為true的條件。因此它的查詢結(jié)果一定是成立的,不需要輸入密碼就成功了,我們會在下面的案例中詳細(xì)展示此條件。
二、區(qū)別詳情展示
上面只是簡單的對MyBatis中#{}與${}的區(qū)別一個介紹,以應(yīng)付面試官為主,接下來我們詳細(xì)進行他們區(qū)別的展示,大家進行深入理解。
我們先進行環(huán)境的準(zhǔn)備:
首先是pom的依賴:
<dependencies>
<!--導(dǎo)入MyBatis的jar包-->
<dependency>
<groupId>org.mybatis</groupId>
<artifactId>mybatis</artifactId>
<version>3.5.6</version>
</dependency>
<!-- MySQL驅(qū)動包-->
<!-- https://mvnrepository.com/artifact/mysql/mysql-connector-java -->
<dependency>
<groupId>mysql</groupId>
<artifactId>mysql-connector-java</artifactId>
<version>8.0.16</version>
</dependency>
<!--junit-->
<dependency>
<groupId>junit</groupId>
<artifactId>junit</artifactId>
<version>4.12</version>
<scope>test</scope>
</dependency>
<!--log4j-->
<dependency>
<groupId>log4j</groupId>
<artifactId>log4j</artifactId>
<version>1.2.17</version>
</dependency>
</dependencies>
數(shù)據(jù)庫的配置信息:db.properties(以自己的實際為準(zhǔn))
#key=value
db.username=root
db.password=123456
db.url=jdbc:mysql://localhost:3306/could2021?serverTimezone=Asia/ShanghAI
db.driver=com.mysql.cj.jdbc.Driver
mybatis的核心配置文件:mybatis-config.xml
<?xml version="1.0" encoding="UTF-8" ?>
<!DOCTYPE configuration
PUBLIC "-//mybatis.org//DTD Config 3.0//EN"
"http://mybatis.org/dtd/mybatis-3-config.dtd">
<configuration>
<properties resource="db.properties"></properties>
<settings>
<setting name="mapUnderscoreToCamelCase" value="true"/>
<!-- 開啟延遲加載 -->
<setting name="lazyLoadingEnabled" value="true"/>
<!-- 設(shè)置加載的數(shù)據(jù)是按需加載-->
<setting name="aggressiveLazyLoading" value="false"/>
<!-- 開啟二級緩存-->
<setting name="cacheEnabled" value="true"/>
</settings>
<typeAliases>
<package name="ssm.pojo"/>
</typeAliases>
<environments default="development">
<!-- 設(shè)置連接數(shù)據(jù)庫環(huán)境-->
<environment id="development">
<transactionManager type="JDBC"/>
<dataSource type="POOLED">
<property name="driver" value="${db.driver}"/>
<property name="url" value="${db.url}"/>
<property name="username" value="${db.username}"/>
<property name="password" value="${db.password}"/>
</dataSource>
</environment>
</environments>
<mAppers>
<!-- 設(shè)置映射文件路徑-->
<mapper resource="mapper/EmployeeMapper.xml"/>
<mapper resource="mapper/UserMapper.xml"/>
</mappers>
</configuration>
環(huán)境的準(zhǔn)備工作我們做好了,接下來我們來探究吧。
1.1本質(zhì)區(qū)別
上文說了:#{}使用占位符方式;${}是字符串的拼接,接下來我們以代碼為例,進行詳細(xì)介紹:
#{}是使用占位符的方式,用預(yù)處理的方式,如一下代碼:
SELECT id,last_name,email,salary,dept_id
FROM tbl_employee WHERE id = #{id}
最終生成的SQL語句如下:
DEBUG 02-13 11:27:12,141 ==> Preparing: SELECT id,last_name,email,salary,dept_id FROM tbl_employee WHERE id = ? (BaseJdbcLogger.java:137)
DEBUG 02-13 11:27:12,162 ==> Parameters: 1(Integer) (BaseJdbcLogger.java:137)
DEBUG 02-13 11:27:12,179 <== Total: 1 (BaseJdbcLogger.java:137)
Employee{id=1, lastName='lalal', email='chengcheng@163.com', salary=100000.0, dept=null}
顯而易見,#{}是通過占位符的方式進行拼接的。
接下來我們再看${},它是通過字符串拼接,將參數(shù)拼接到SQL語句中,具體如下所示:
SELECT id,last_name,email,salary,dept_id
FROM tbl_employee WHERE id = ${id}
最終生成的SQL語句如下:
DEBUG 02-13 11:34:52,158 ==> Preparing: SELECT id,last_name,email,salary,dept_id FROM tbl_employee WHERE id = 1 (BaseJdbcLogger.java:137)
DEBUG 02-13 11:34:52,179 ==> Parameters: (BaseJdbcLogger.java:137)
DEBUG 02-13 11:34:52,197 <== Total: 1 (BaseJdbcLogger.java:137)
Employee{id=1, lastName='lalal', email='chengcheng@163.com', salary=100000.0, dept=null}
顯而易見,使用${},將我們的參數(shù)拼接到了SQL語句中。
我們可以看出,當(dāng)參數(shù)為整數(shù)類型時(不考慮安全問題的前提下),${}與#{}的執(zhí)行效果都是一樣的,SQL語句都可以執(zhí)行成功。
但是對于當(dāng)參數(shù)的類型是字符時,使用${}就有問題了,我們先看一下使用#{}的代碼:
SELECT id,last_name,email,salary,dept_id
FROM tbl_employee WHERE last_name = #{lastName}
查詢結(jié)果如下所示:
DEBUG 02-13 14:21:50,285 ==> Preparing: SELECT id,last_name,email,salary,dept_id FROM tbl_employee WHERE last_name = ? (BaseJdbcLogger.java:137)
DEBUG 02-13 14:21:50,343 ==> Parameters: lalal(String) (BaseJdbcLogger.java:137)
DEBUG 02-13 14:21:50,423 <== Total: 1 (BaseJdbcLogger.java:137)
Employee{id=1, lastName='lalal', email='chengcheng@163.com', salary=100000.0, dept=null}
接下來我們再看一下${}進行操作字符的參數(shù):
SELECT id,last_name,email,salary,dept_id
FROM tbl_employee WHERE last_name = ${lastName}
我們看一下運行此sql語句的控制臺結(jié)果:
DEBUG 02-13 14:27:48,111 ==> Preparing: SELECT id,last_name,email,salary,dept_id FROM tbl_employee WHERE last_name = lalal (BaseJdbcLogger.java:137)
DEBUG 02-13 14:27:48,132 ==> Parameters: (BaseJdbcLogger.java:137)
org.Apache.ibatis.exceptions.PersistenceException:
### Error querying database. Cause: java.sql.SQLSyntaxErrorException: Unknown column 'lalal' in 'where clause'
### The error may exist in mapper/EmployeeMapper.xml
### The error may involve defaultParameterMap
### The error occurred while setting parameters
### SQL: SELECT id,last_name,email,salary,dept_id FROM tbl_employee WHERE last_name = lalal
### Cause: java.sql.SQLSyntaxErrorException: Unknown column 'lalal' in 'where clause'
由上方內(nèi)容顯示可以看出他把字符串的參數(shù)直接拼接到SQL語句中了。這樣就會導(dǎo)致程序報錯,因為傳遞的參數(shù)是字符類型的,而在 SQL 的語法中,如果是字符類型需要給值添加單引號,否則就會報錯。而 ${} 是直接替換,不會自動添加單引號,所以執(zhí)行就報錯了。
所以,對于參數(shù)類型是字符時,#{}是沒有問題的,而${}存在問題。
2.2使用場景
由上面的測試代碼我們可知#{}使用占位符方式;${}是字符串的拼接。雖然使用 #{} 的方式可以處理任意類型的參數(shù),然而當(dāng)傳遞的參數(shù)是一個 SQL 命令或 SQL 關(guān)鍵字時 #{} 就會出問題了。例如我們做表做排序操作,而其中desc 倒序或者是 asc 正序的排序規(guī)則也以參數(shù)的形式傳遞的話,我們需要借助${}來實現(xiàn),具體如下:
SELECT id,last_name,email,salary,dept_id
FROM tbl_employee order by dept_id ${sort}
以上代碼生成的執(zhí)行 SQL 和運行結(jié)果如下:
DEBUG 02-13 15:31:49,041 Cache Hit Ratio [ssm.mapper.EmployeeMapper]: 0.0 (LoggingCache.java:60)
DEBUG 02-13 15:31:49,771 ==> Preparing: SELECT id,last_name,email,salary,dept_id FROM tbl_employee order by dept_id desc (BaseJdbcLogger.java:137)
DEBUG 02-13 15:31:49,798 ==> Parameters: (BaseJdbcLogger.java:137)
DEBUG 02-13 15:31:49,828 <== Total: 16 (BaseJdbcLogger.java:137)
[Employee{id=10, lastName='chengcheng8', email='chengcheng@163.com', salary=100000.0, dept=null}, Employee{id=9......
但是,如果將代碼中的 ${} 改為 #{},那么程序執(zhí)行就會報錯,#{} 的實現(xiàn)代碼如下:
DEBUG 02-13 15:35:20,525 Cache Hit Ratio [ssm.mapper.EmployeeMapper]: 0.0 (LoggingCache.java:60)
DEBUG 02-13 15:35:21,265 ==> Preparing: SELECT id,last_name,email,salary,dept_id FROM tbl_employee order by dept_id ? (BaseJdbcLogger.java:137)
DEBUG 02-13 15:35:21,287 ==> Parameters: desc(String) (BaseJdbcLogger.java:137)
org.apache.ibatis.exceptions.PersistenceException:
### Error querying database. Cause: java.sql.SQLSyntaxErrorException: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''desc'' at line 2
由以上結(jié)果可以看出,當(dāng)我們傳遞的是普通參數(shù)的時候,需要使用 #{}的方式,但是當(dāng)傳入的參數(shù)是一個 SQL 命令或 SQL 關(guān)鍵字時,需要使用 ${} 來對 SQL 中的參數(shù)進行直接替換并執(zhí)行。
2.3安全性不同
接下來我們的重點來了,對于他們兩者來說,它們兩者之間最大的區(qū)別體現(xiàn)在安全方面,使用${}會出現(xiàn)安全問題,也就是SQL的注入問題,而使用 #{} 由于是預(yù)處理的,所以不會存在安全問題。大家可能好奇怎么出現(xiàn)的安全隱患,我們來進行測試一下:我們以用戶的登錄功能為例,進行兩者之間的差別。
使用 ${}來實現(xiàn)登錄功能測試
UserMapper.xml 中的實現(xiàn)代碼如下:
<select id="login" resultType="user">
SELECT * FROM user where username='${param1}' and password='${param2}'
</select>
測試代碼如下:
@Test
public void login(){
User user = userMapper.login("admin","123456");
System.out.println(user);
}
控制臺運行代碼如下:
DEBUG 02-13 16:18:58,930 ==> Preparing: SELECT * FROM user where username=? and password=? (BaseJdbcLogger.java:137)
DEBUG 02-13 16:18:58,953 ==> Parameters: admin(String), 123456(String) (BaseJdbcLogger.java:137)
DEBUG 02-13 16:18:58,971 <== Total: 1 (BaseJdbcLogger.java:137)
User{id=11, userName='admin', passWord='123456', email='123@ss.com'}
由結(jié)果顯示,我們輸入正確的用戶名稱和賬號密碼是沒有問題的,用戶可以查到。
那么當(dāng)我們不知道密碼的時候,使用sql注入的方式也可以進行數(shù)據(jù)的讀取,如下所示:我們的SQL語句不變,我們改變傳入?yún)?shù)的內(nèi)容。
User user = userMapper.login("admin", "' or 1='1");
System.out.println(user);
通過以上的方式傳參,進行用戶登錄測試,結(jié)果如下:
DEBUG 02-13 16:36:01,997 ==> Preparing: SELECT * FROM user where username='admin' and (password='' or 1='1') (BaseJdbcLogger.java:137)
DEBUG 02-13 16:36:02,020 ==> Parameters: (BaseJdbcLogger.java:137)
DEBUG 02-13 16:36:02,037 <== Total: 1 (BaseJdbcLogger.java:137)
User{id=11, userName='admin', passWord='123456', email='123@ss.com'}
由結(jié)果可以看出,我們在沒有密碼的情況下依舊獲取到了數(shù)據(jù)庫的私密信息,由此可見${}存在很大的安全隱患。
那我們來看看#{}是否存在安全問題?
測試條件,參數(shù)不變,我們修改xml的映射文件,使用#{}進行參數(shù)的傳遞。
<select id="login" resultType="user">
SELECT * FROM user where username=#{param1} and password=#{param2}
</select>
控制臺結(jié)果顯示:
DEBUG 02-14 11:23:09,911 ==> Preparing: SELECT * FROM user where username=? and password=? (BaseJdbcLogger.java:137)
DEBUG 02-14 11:23:09,934 ==> Parameters: admin(String), ' or 1='1(String) (BaseJdbcLogger.java:137)
DEBUG 02-14 11:23:09,951 <== Total: 0 (BaseJdbcLogger.java:137)
null
如上圖結(jié)果顯示:參數(shù)的傳遞相當(dāng)于password=“' or 1='1”這個整體,根據(jù)此條件查詢數(shù)據(jù)庫,查詢不到信息。因此,用時SQL注入引發(fā)的安全隱患問題,#{}是可以防止的。
總結(jié)
通過上文的講解,大概應(yīng)該明白的了${}與#{}的區(qū)別:
#{}:Mybatis中#{}傳遞參數(shù)底層使用PreparedStatement對象,使用占位符方式,相對安全。
${}:Mybatis中${}傳遞參數(shù)底層使用Statement對象,字符串拼接方式,相對不安全。
