快捷導(dǎo)航

java中?${}?和?#{}?有什么區(qū)別

更新時(shí)間：2022年08月23日 09:15:41 作者：Java中文社群???????

本文主要介紹了java中${}和#{}有什么區(qū)別，${}和#{}都是MyBatis中用來(lái)替換參數(shù)的，它們都可以將用戶(hù)傳遞過(guò)來(lái)的參數(shù)，替換到MyBatis最終生成的SQL中，但它們區(qū)別卻是很大的，感興趣的小伙伴可以一起來(lái)學(xué)習(xí)下面詳細(xì)內(nèi)容

前言

${} 和 #{} 都是 MyBatis 中用來(lái)替換參數(shù)的，它們都可以將用戶(hù)傳遞過(guò)來(lái)的參數(shù)，替換到 MyBatis 最終生成的 SQL 中，但它們區(qū)別卻是很大的，接下來(lái)我們一起來(lái)看。

1.功能不同

${} 是將參數(shù)直接替換到 SQL 中，比如以下代碼：

<select id="getUserById" resultType="com.example.demo.model.UserInfo">
    select * from userinfo where id=${id}
</select>

最終生成的執(zhí)行 SQL 如下：

從上圖可以看出，之前的參數(shù) ${id} 被直接替換成具體的參數(shù)值 1 了。而 #{} 則是使用占位符的方式，用預(yù)處理的方式來(lái)執(zhí)行業(yè)務(wù)，我們將上面的案例改造為 #{} 的形式，實(shí)現(xiàn)代碼如下：

<select id="getUserById" resultType="com.example.demo.model.UserInfo">
    select * from userinfo where id=#{id}
</select>

最終生成的 SQL 如下：

1.1 ${} 的問(wèn)題

當(dāng)參數(shù)為數(shù)值類(lèi)型時(shí)（在不考慮安全問(wèn)題的前提下），${} 和 #{} 的執(zhí)行效果都是一樣的，然而當(dāng)參數(shù)的類(lèi)型為字符時(shí)，再使用 ${} 就有問(wèn)題了，如下代碼所示：

<select id="getUserByName" resultType="com.example.demo.model.UserInfo">
    select * from userinfo where name=${name}
</select>

以上程序執(zhí)行時(shí)，生成的 SQL 語(yǔ)句如下：

這樣就會(huì)導(dǎo)致程序報(bào)錯(cuò)，因?yàn)閭鬟f的參數(shù)是字符類(lèi)型的，而在 SQL 的語(yǔ)法中，如果是字符類(lèi)型需要給值添加單引號(hào)，否則就會(huì)報(bào)錯(cuò)，而 ${} 是直接替換，不會(huì)自動(dòng)添加單引號(hào)，所以執(zhí)行就報(bào)錯(cuò)了。而使用 #{} 采用的是占位符預(yù)執(zhí)行的，所以不存在任何問(wèn)題，它的實(shí)現(xiàn)代碼如下：

<select id="getUserByName" resultType="com.example.demo.model.UserInfo">
    select * from userinfo where name=#{name}
</select>

以上程序最終生成的執(zhí)行 SQL 如下：

2.使用場(chǎng)景不同

雖然使用 #{} 的方式可以處理任意類(lèi)型的參數(shù)，然而當(dāng)傳遞的參數(shù)是一個(gè) SQL 命令或 SQL 關(guān)鍵字時(shí) #{} 就會(huì)出問(wèn)題了。比如，當(dāng)我們要根據(jù)價(jià)格從高到低（倒序）、或從低到高（正序）查詢(xún)時(shí)，如下圖所示：

此時(shí)我們要傳遞的排序的關(guān)鍵字，desc 倒序（價(jià)格從高到低）或者是 asc 正序（價(jià)格從低到高），此時(shí)我們使用 ${} 的實(shí)現(xiàn)代碼瑞安：

<select id="getAll" resultType="com.example.demo.model.Goods">
  select * from goods order by price ${sort}
</select>

以上代碼生成的執(zhí)行 SQL 和運(yùn)行結(jié)果如下：

但是，如果將代碼中的 ${} 改為 #{}，那么程序執(zhí)行就會(huì)報(bào)錯(cuò)，#{} 的實(shí)現(xiàn)代碼如下：

<select id="getAll" resultType="com.example.demo.model.Goods">
  select * from goods order by price #{sort}
</select>

以上代碼生成的執(zhí)行 SQL 和運(yùn)行結(jié)果如下：

從上述的執(zhí)行結(jié)果我們可以看出：當(dāng)傳遞的是普通參數(shù)時(shí)，需要使用 #{} 的方式，而當(dāng)傳遞的是 SQL 命令或 SQL 關(guān)鍵字時(shí)，需要使用 ${} 來(lái)對(duì) SQL 中的參數(shù)進(jìn)行直接替換并執(zhí)行。

3.安全性不同

${} 和 #{} 最主要的區(qū)別體現(xiàn)在安全方面，當(dāng)使用 ${} 會(huì)出現(xiàn)安全問(wèn)題，也就是 SQL 注入的問(wèn)題，而使用 #{} 因?yàn)槭穷A(yù)處理的，所以不會(huì)存在安全問(wèn)題，我們通過(guò)下面的登錄功能來(lái)觀(guān)察一下二者的區(qū)別。

3.1 使用 ${} 實(shí)現(xiàn)用戶(hù)登錄

UserMapper.xml 中的實(shí)現(xiàn)代碼如下：

<select id="login" resultType="com.example.demo.model.UserInfo">
  select * from userinfo where name='${name}' and password='${password}'
</select>

單元測(cè)試代碼如下：

@Test
void login() {
    UserInfo userInfo = userMapper.login("java", "java");
    System.out.println(userInfo);
}

以上代碼生成的執(zhí)行 SQL 和運(yùn)行結(jié)果如下：

從結(jié)果可以看出，當(dāng)我們傳入了正確的用戶(hù)名和密碼時(shí)，能成功的查詢(xún)到數(shù)據(jù)。但是，在我們使用 ${} 時(shí)，當(dāng)我們?cè)诓恢勒_密碼的情況下，使用 SQL 注入語(yǔ)句也能用戶(hù)的私人信息，SQL 注入的實(shí)現(xiàn)代碼如下：

@Test
void login() {
    UserInfo userInfo = userMapper.login("java", "' or 1='1");
    System.out.println(userInfo);
}

以上代碼生成的執(zhí)行 SQL 和運(yùn)行結(jié)果如下：

從上述結(jié)果可以看出，當(dāng)使用 ${} 時(shí)，在不知道正確密碼的情況下也能得到用戶(hù)的私人數(shù)據(jù)，這就像一個(gè)小偷在沒(méi)有你們家鑰匙的情況下，也能輕松的打開(kāi)你們家大門(mén)一樣，這是何其恐怖的事情。那使用 #{} 有沒(méi)有安全問(wèn)題呢？接下來(lái)我們來(lái)測(cè)試一下。

3.2 使用 #{} 實(shí)現(xiàn)用戶(hù)登錄

首先將 UserMapper.xml 中的代碼改成以下內(nèi)容：

<select id="login" resultType="com.example.demo.model.UserInfo">
  select * from userinfo where name=#{name} and password=#{password}
</select>

接著我們使用上面的 SQL 注入來(lái)測(cè)試登錄功能：

@Test
void login() {
    UserInfo userInfo = userMapper.login("java", "' or 1='1");
    System.out.println(userInfo);
}

最終生成的 SQL 和執(zhí)行結(jié)果如下：

從上述代碼可以看出，使用 SQL 注入是無(wú)法攻破 #{} 的“大門(mén)”的，所以可以放心使用。

總結(jié)

${} 和 #{} 都是 MyBatis 中用來(lái)替換參數(shù)的，它們二者的區(qū)別主要體現(xiàn)在：1、功能不同：${} 是直接替換，而 #{} 是預(yù)處理；2、使用場(chǎng)景不同：普通參數(shù)使用 #{}，如果傳遞的是 SQL 命令或 SQL 關(guān)鍵字，需要使用 ${}，但在使用前一定要做好安全驗(yàn)證；3、安全性不同：使用 ${} 存在安全問(wèn)題，而 #{} 則不存在安全問(wèn)題。

到此這篇關(guān)于java中 ${} 和 #{} 有什么區(qū)別的文章就介紹到這了,更多相關(guān)java中${} 和 #{} 內(nèi)容請(qǐng)搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家！

您可能感興趣的文章: