mybatis面试点|#和$的区别

小刀博客: https://www.lixiang.red 小刀公众号: 程序员学习大本营

问题详情

在我们拼接mysql的语句时, 通常会有大佬提醒我们,要注意 #和$符号的使用: id = #{id} , id = ${id} , 那这两种写法有什么区别呢?

问题解答

用#号的号,可以用使用PreparedStatement+占位符的方式来拼sql语句,可以防止sql注入,更安全

问题解析

对#号的处理

源码中,对#{}的特殊处理可以在这个位置看到

然后我们断点打开解析器里面,可以看到在解析完之后,就从#{id} 变成了 ?

在换成?的同时,把id包装成parameterMapping并添加到parameterMappings中,后面还要获取出来,然后拿值,再把值放到prepareStatement中

一步步debug下来,我们经过了 Executor(执行器) , 然后到TypeHandler, 找到对应的参数处理器,然后执行 ps.setInt('位置','值'). 完成了整个过程

对$号的处理

这个就很简单了 在调用SqlSource.getBoundSql() 去获取要执行sql的时候,就会被token解析器给换成值了.

思考题

在上述debug的过种中,我们可以看到,mybatis对动态sql和静态sql的处理是不一样的. 那什么样的sql是动态sql呢?

select * from t where t=#{id} , select * from t where t=${id}

哪一个是动态sql? 欢迎留言和小刀一起讨论学习