题目 | 笔记Notes |
面试题目:#{}和${}的区别是什么? | 网上的答案是:#{}是预编译处理,${}是字符串替换。mybatis在处理#{}时, 会将sql中的#{}替换为?号,调用PreparedStatement的set方法来赋值;mybatis在处理${}时, 就是把${}替换成变量的值。使用#{}可以有效的防止SQL注入,提高系统安全性。 |
总结Summary | |
对于这个题目我感觉要抓住两点: (1)$符号一般用来当作占位符 既然是占位符,当然就是被用来替换的。知道了这点就能很容易区分$和#,从而不容易记错了。 (2)预编译的机制。 预编译是提前对SQL语句进行预编译,而其后注入的参数将不会再进行SQL编译。 我们知道,SQL注入是发生在编译的过程中,因为恶意注入了某些特殊字符,最后被编译成了恶意的执行操作 。而预编译机制则可以很好的防止SQL注入。 |