面试八股文（六）--Mybatis#{}和${}的区别？

来到golang学习网的大家，相信都是编程学习爱好者，希望在这里学习数据库相关编程知识。下面本篇文章就来带大家聊聊《面试八股文（六）--Mybatis#{}和${}的区别？》，介绍一下MySQL，希望对大家的知识积累有所帮助，助力实战开发！

一、符号使用举例

//在select标签中使用，#用于表示占位符，把他单独作为某个值；而$用于表示字符串拼接

    select * from #{tableName}

二、举例使用并区分

1.select from #{tableName} 和 select from ${tableName}
①对于#号来说，由于它表示占位符，他是作为值存在的，因此它实际传输的语句select from ？，而这种语句是需要预编译的。假设我现在传递参数为字符串'user'，语句就变成select from 'user'，这样的语句是无法执行的。
②而对于$号来说，select * from ${tableName}，他是以字符串拼接的形式，因此他是能够执行的
③那这样来说，是不是意味着$更好呢？其实并不是，我们来看下面的语句
2.select from auth_user where username = #{userName} 和 select from auth_user where username = %{userName}
①从上面的例子我们可以知道$是对字符串进行拼接再执行SQL语句的，假设我们执行上面的语句就会产生一个问题，我怎么知道输入的userName是不是正常的呢，假设他是坏人呢？如输入"username' or '1'= `1"语句就会变成

select * from auth_user where username = "username' or '1'= `1"

也就是我们常说的SQL注入，这样会导致我们所有的用户信息都会暴露出来！！！

三、日常使用

1.细心的同学可能发现了，第一个SQL语句需要的参数是我们程序员已知的，而第二个SQL语句需要的参数是用户输入的。因此，我们可以得出一个结论，

一般#用于用户输入值的地方、$用于程序员自己赋值的地方

四、区别

1.#号表示占位符；$表示拼接字符串
2.#号使用的是PreparedStatement，他会进行预编译，能防止SQL注入；而$使用的是Statement

五、为什么预编译能防止SQL注入？

1.解释：在使用占位符，或者说参数的时候，数据库已经将sql指令编译过，那么查询的格式已经订好了，也就是我们说的我已经明白你要做什么了，你要是将不合法的参数传进去，会有合法性检查，用户只需要提供参数给我，参数不会当成指令部分来执行，也就是预编译已经把指令以及参数部分区分开，参数部分不允许传指令进来
2.理解：预编译的时候是先把这句话编译了，生成sql模板，

相当于生成了一个我提前知道你要查名字了

今天关于《面试八股文（六）--Mybatis#{}和${}的区别？》的内容介绍就到此结束，如果有什么疑问或者建议，可以在golang学习网公众号下多多回复交流；文中若有不正之处，也希望回复留言以告知！