深入解析SpringBoot中#{}和${}的使用

更新時間：2025年04月25日 10:30:22 作者：Code哈哈笑

本文主要介紹了深入解析SpringBoot中#{}和${}的使用,文中通過示例代碼介紹的非常詳細,對大家的學習或者工作具有一定的參考學習價值,需要的朋友們下面隨著小編來一起學習學習吧

1.#{} 和 ${}的使用

1.1數(shù)據(jù)準備

1.1.1.MySQL數(shù)據(jù)準備

（1）創(chuàng)建數(shù)據(jù)庫：

CREATE DATABASE mybatis_study DEFAULT CHARACTER SET utf8mb4;

（2）使用數(shù)據(jù)庫

-- 使?數(shù)據(jù)數(shù)據(jù)
USE mybatis_study;

（3）創(chuàng)建用戶表

-- 創(chuàng)建表[??表]

CREATE TABLE `user_info` (
 `id` INT ( 11 ) NOT NULL AUTO_INCREMENT,
 `username` VARCHAR ( 127 ) NOT NULL,
 `password` VARCHAR ( 127 ) NOT NULL,
 `age` TINYINT ( 4 ) NOT NULL,
 `gender` TINYINT ( 4 ) DEFAULT '0' COMMENT '1-男 2-? 0-默認',
 `phone` VARCHAR ( 15 ) DEFAULT NULL,
 `delete_flag` TINYINT ( 4 ) DEFAULT 0 COMMENT '0-正常, 1-刪除',
 `create_time` DATETIME DEFAULT now(),
 `update_time` DATETIME DEFAULT now() ON UPDATE now(),
 PRIMARY KEY ( `id` ) 
) ENGINE = INNODB DEFAULT CHARSET = utf8mb4;

（4）添加用戶信息

-- 添加??信息
INSERT INTO mybatis_study.user_info( username, `password`, age, gender, phone )
VALUES ( 'admin', 'admin', 18, 1, '18612340001' );
INSERT INTO mybatis_study.user_info( username, `password`, age, gender, phone )
VALUES ( 'zhangsan', 'zhangsan', 18, 1, '18612340002' );
INSERT INTO mybatis_study.user_info( username, `password`, age, gender, phone )
VALUES ( 'lisi', 'lisi', 18, 1, '18612340003' );
INSERT INTO mybatis_study.user_info( username, `password`, age, gender, phone )
VALUES ( 'wangwu', 'wangwu', 18, 1, '18612340004' );

1.1.2.創(chuàng)建對應的實體類

實體類的屬性名與表中的字段名??對應

@Data
public class UserInfo {

    private Integer id;
    private String username;
    private String password;
    private Integer age;
    private Integer gender;
    private String phone;
    private Integer deleteFlag;
    private Date createTime;
    private Date updateTime;

}

在這里插入圖片描述

注意：在實際開發(fā)中不管什么實體類都要設置刪除標志、創(chuàng)建時間、修改時間

1.2 獲取Integer類型

1.2.1 #{}

Mapper接口：

@Mapper
public interface UserInfoMapper {
    // 獲取參數(shù)中的 UserId
    @Select("select * from user_info where id = #{userId} ")
    UserInfo queryById(@Param("userId") Integer id);

測試代碼：

@Slf4j
@SpringBootTest //啟動Sring 容器
class UserInfoMapperTest {

    @Test
    void queryById() {
        UserInfo result = userInfoMapper.queryById(8);
        log.info(result.toString());
    }
}

運行結果：

在這里插入圖片描述

通過日志可以發(fā)現(xiàn)，？進行占位，傳的參數(shù)進行綁定到占位符。

1.2.2 ${}

Mapper接口：

@Mapper
public interface UserInfoMapper {
    // 獲取參數(shù)中的 UserId
    @Select("select * from user_info where id = ${userId} ")
    UserInfo queryById(@Param("userId") Integer id);

測試代碼：

@Slf4j
@SpringBootTest //啟動Sring 容器
class UserInfoMapperTest {

    @Test
    void queryById() {
        UserInfo result = userInfoMapper.queryById(8);
        log.info(result.toString());
    }
}

運行結果：

在這里插入圖片描述

通過日志可以發(fā)現(xiàn)，SQL命令是完整的，因為，該方法是把字符串拼接在一起執(zhí)行的。

1.3 獲取String類型

1.3.1 #{}

Mapper接口：

@Mapper
public interface UserInfoMapper {
    // 獲取參數(shù)中的 username
    @Select("select * from user_info where username = #{username} ")
    List<UserInfo> queryByUsername( String username);

測試代碼：

@Slf4j
@SpringBootTest //啟動Sring 容器
class UserInfoMapperTest {
    @Autowired
    private UserInfoMapper userMapper;

    @Test
    void queryByUsername() {
        userMapper.queryByUsername("lisi");
    }
}

運行結果：

在這里插入圖片描述

通過日志可以發(fā)現(xiàn)，？進行占位，傳的參數(shù)進行綁定到占位符。

1.3.2 ${}

Mapper接口：

@Mapper
public interface UserInfoMapper {
    // 獲取參數(shù)中的 username
    @Select("select * from user_info where username = ${username} ")
    List<UserInfo> queryByUsername( String username);

測試代碼：

@Slf4j
@SpringBootTest //啟動Sring 容器
class UserInfoMapperTest {
    @Autowired
    private UserInfoMapper userMapper;

    @Test
    void queryByUsername() {
        userMapper.queryByUsername("lisi");
    }
}

運行結果：報錯

在這里插入圖片描述

從SQL語句中明顯的看到WHERE username 后面的字符串沒有引號，導致報錯。

因為，${}直接把字符內(nèi)容直接放進SQL語句中而沒有加單引號。

修改后的mapper接口：

@Mapper
public interface UserInfoMapper {
    // 獲取參數(shù)中的 username
    @Select("select * from user_info where username = '${username}' ")
    UserInfo queryByUsername( String username);

在這里插入圖片描述

2.#{} 和 ${}的區(qū)別

2.1 預編譯SQL和即時SQL的執(zhí)行過程

2.1.1 預編譯SQL執(zhí)行過程

#{}是預編譯SQL。

第一步：數(shù)據(jù)庫客戶端（如 JDBC 驅(qū)動）將 SQL 模板發(fā)送到數(shù)據(jù)庫服務器。

// SQL模版
PreparedStatement pstmt = connection.prepareStatement("SELECT * FROM user WHERE id = ? AND name = ?");

第二步：SQL 預編譯
（1）數(shù)據(jù)庫解析 SQL 模板，生成執(zhí)行計劃（包括語法檢查、語義分析、優(yōu)化等），并緩存該計劃。
（2）此時，占位符 ? 的具體值尚未填充，數(shù)據(jù)庫只處理 SQL 的結構。

第三步：客戶端通過 PreparedStatement 的方法設置參數(shù)值

//參數(shù)值以二進制形式單獨發(fā)送到數(shù)據(jù)庫，不會直接拼接到 SQL 中，避免了 SQL 注入
pstmt.setInt(1, 123);    // 綁定 id
pstmt.setString(2, "Alice"); // 綁定 name

第四步：SQL 執(zhí)行
（1）數(shù)據(jù)庫使用緩存的執(zhí)行計劃，將綁定參數(shù)代入執(zhí)行計劃，直接運行查詢或更新操作。
（2）如果相同的 SQL 模板再次執(zhí)行（僅參數(shù)不同），數(shù)據(jù)庫可復用緩存的執(zhí)行計劃，減少編譯開銷。

2.1.2 即時QL執(zhí)行過程

${}是即時SQL。

第一步：SQL 語句拼接

SELECT * FROM user ORDER BY ${columnName}

//如果 columnName = "age"

//生成
SELECT * FROM user ORDER BY age; DROP TABLE user;

第二步：SQL 發(fā)送到數(shù)據(jù)庫
客戶端將拼接好的完整 SQL 字符串通過 Statement 或類似接口發(fā)送到數(shù)據(jù)庫

Statement stmt = connection.createStatement();
ResultSet rs = stmt.executeQuery(sql);

第三步：SQL解析與編譯
語法解析：檢查 SQL 語句的語法是否正確。
語義分析：驗證表名、列名等是否存在，權限是否足夠。
優(yōu)化：生成執(zhí)行計劃，選擇最優(yōu)的查詢路徑。

第四步：SQL執(zhí)行
數(shù)據(jù)庫根據(jù)生成的執(zhí)行計劃執(zhí)行 SQL，完成查詢或更新操作。

2.2性能比較

預編譯SQL（#{}）性能更高：
絕?多數(shù)情況下, 某?條 SQL 語句可能會被反復調(diào)?執(zhí)?, 或者每次執(zhí)?的時候只有個別的值不同(?如 select 的 where ?句值不同, update 的 set ?句值不同, insert 的 values 值不同). 如果每次都需要經(jīng)過上?的語法解析, SQL優(yōu)化、SQL編譯等，則效率就明顯不?了

在這里插入圖片描述

預編譯SQL，編譯?次之后會將編譯后的SQL語句緩存起來，后?再次執(zhí)?這條語句時，不會再次編譯 (只是輸?的參數(shù)不同), 省去了解析優(yōu)化等過程, 以此來提?效率

預編譯SQL（#{}）更安全(防?SQL注?)：
由于沒有對??輸?進?充分檢查，?SQL?是拼接?成，在??輸?參數(shù)時，在參數(shù)中添加?些 SQL關鍵字，達到改變SQL運?結果的?的，也可以完成惡意攻擊。

2.3 排序舉例

排序需要用到SQL的關鍵字asc 和desc，把該兩個關鍵字設置為參數(shù)時需要用到${}，因為#{}會把asc 和desc認為是字符串

2.3.1 #{}

Mapper接口：

@Mapper
public interface UserInfoMapper {

    @Select("select * from userInfo order by username #{flag}")
    List<UserInfo> findAll(String flag);
}

測試代碼

@Slf4j
@SpringBootTest //啟動Sring 容器
class UserInfoMapperTest {

    @Autowired
    private UserInfoMapper userMapper;

    @Test
    void findAll() {
        userMapper.findAll("asc");
    }
}

運行結果：

在這里插入圖片描述

2.3.2 #{}

Mapper接口：

@Mapper
public interface UserInfoMapper {

    @Select("select * from userInfo order by username ${flag}")
    List<UserInfo> findAll(String flag);
}

測試代碼

@Slf4j
@SpringBootTest //啟動Sring 容器
class UserInfoMapperTest {

    @Autowired
    private UserInfoMapper userMapper;

    @Test
    void findAll() {
        userMapper.findAll("asc");
    }
}

運行結果：

在這里插入圖片描述

2.4 like 查詢

2.4.1 #{}

Mapper接口：

@Mapper
public interface UserInfoMapper {

    @Select("select * from user_info where username like '%#{s}%'")
    List<UserInfo> queryLike(String s);
}

測試代碼：

@Slf4j
@SpringBootTest //啟動Sring 容器
class UserInfoMapperTest {

    @Autowired
    private UserInfoMapper userMapper;

    @Test
    void queryLike() {
        String s = "6";
        userMapper.queryLike(s);
    }
}

運行結果：

在這里插入圖片描述

把 #{} 改成可以正確查出來 , 但是 {} 可以正確查出來, 但是可以正確查出來,但是{}存在SQL注?的問題, 所以不能直接使? ${}.解決辦法: 使? mysql 的內(nèi)置函數(shù) concat() 來處理，實現(xiàn)代碼如下：

修改后的Mapper接口：

@Mapper
public interface UserInfoMapper {

    @Select("select * from user_info where username like concat('%',#{s},'%') ")
    List<UserInfo> queryLike(String s);

運行結果：

在這里插入圖片描述

2.4.2 ${}

Mapper接口：

@Mapper
public interface UserInfoMapper {

    @Select("select * from user_info where username like '%${s}%' ")
    List<UserInfo> queryLike(String s);
}

測試代碼：

@Slf4j
@SpringBootTest //啟動Sring 容器
class UserInfoMapperTest {

    @Autowired
    private UserInfoMapper userMapper;

    @Test
    void queryLike() {
        String s = "6";
        userMapper.queryLike(s);
    }
}

運行結果：

在這里插入圖片描述

3.什么是SQL注入?

SQL注?：是通過操作輸?的數(shù)據(jù)來修改事先定義好的SQL語句，以達到執(zhí)?代碼對服務器進?攻擊的?法。

舉例：
下面定義的接口是由username得到該username的信息

Mapper接口：

@Mapper
public interface UserInfoMapper {
    // 獲取參數(shù)中的 username
    @Select("select * from user_info where username = ${username} ")
    List<UserInfo> queryByUsername( String username);

可以通過輸入' or username='來獲取該表中所有人的信息
測試代碼：

@Slf4j
@SpringBootTest //啟動Sring 容器
class UserInfoMapperTest {
    @Autowired
    private UserInfoMapper userMapper;

    @Test
    void queryByUsername() {
        userMapper.queryByUsername("lisi");
    }
}

運行結果：

在這里插入圖片描述

可以看出來, 查詢的數(shù)據(jù)越界了接口的定義。所以?于查詢的字段，盡量使?#{}預查詢的?式

SQL注?是?種?常常?的數(shù)據(jù)庫攻擊?段, SQL注?漏洞也是?絡世界中最普遍的漏洞之?。

4.數(shù)據(jù)庫連接池

4.1介紹

數(shù)據(jù)庫連接池負責分配、管理和釋放數(shù)據(jù)庫連接，它允許應?程序重復使??個現(xiàn)有的數(shù)據(jù)庫連接，?不是再重新建??個.

在這里插入圖片描述

沒有使?數(shù)據(jù)庫連接池的情況: 每次執(zhí)?SQL語句, 要先創(chuàng)建?個新的連接對象, 然后執(zhí)?SQL語句, SQL語句執(zhí)?完, 再關閉連接對象釋放資源. 這種重復的創(chuàng)建連接, 銷毀連接?較消耗資源

使?數(shù)據(jù)庫連接池的情況: 程序啟動時, 會在數(shù)據(jù)庫連接池中創(chuàng)建?定數(shù)量的Connection對象, 當客?請求數(shù)據(jù)庫連接池, 會從數(shù)據(jù)庫連接池中獲取Connection對象, 然后執(zhí)?SQL, SQL語句執(zhí)?完, 再把 Connection歸還給連接池.

優(yōu)點:
1.減少了?絡開銷
2.資源重?
3.提升了系統(tǒng)的性能

4.2使?

常?的數(shù)據(jù)庫連接池：

C3P0
DBCP
Druid
Hikari

?前?較流?的是 Hikari, Druid
Hikari : SpringBoot默認使?的數(shù)據(jù)庫連接池

在這里插入圖片描述

Hikari 是?語"光"的意思(ひかり), Hikari也是以追求性能極致為?標

Druid

如果我們想把默認的數(shù)據(jù)庫連接池切換為Druid數(shù)據(jù)庫連接池, 只需要引?相關依賴即可

<dependency>
	<groupId>com.alibaba</groupId>
	<artifactId>druid-spring-boot-3-starter</artifactId>
	<version>1.2.21</version>
</dependency>

如果SpringBoot版本為2.X, 使?druid-spring-boot-starter 依賴

<dependency>
	<groupId>com.alibaba</groupId>
	<artifactId>druid-spring-boot-starter</artifactId>
	<version>1.1.17</version>
</dependency>

Druid連接池是阿?巴巴開源的數(shù)據(jù)庫連接池項?
功能強?，性能優(yōu)秀，是Java語?最好的數(shù)據(jù)庫連接池之?

到此這篇關于深入解析SpringBoot中#{} 和 ${}的使用的文章就介紹到這了,更多相關SpringBoot中#{} 和 ${}內(nèi)容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關文章希望大家以后多多支持腳本之家！

您可能感興趣的文章:

IDEA中如何正確快速打jar包的方式
這篇文章主要介紹了IDEA中如何正確快速打jar包,本文通過圖文并茂的形式給大家介紹的非常詳細，對大家的學習或工作具有一定的參考借鑒價值，需要的朋友可以參考下
2020-06-06
springboot后臺session的存儲與取出方式
這篇文章主要介紹了springboot后臺session的存儲與取出方式,具有很好的參考價值,希望對大家有所幫助,如有錯誤或未考慮完全的地方,望不吝賜教
2024-06-06
java8新特性-Stream入門學習心得
這篇文章主要介紹了java8新特性-Stream入門學習心得，具有很好的參考價值，希望對大家有所幫助。如有錯誤或未考慮完全的地方，望不吝賜教
2023-03-03
Java Date類常用示例_動力節(jié)點Java學院整理
在JDK1.0中，Date類是唯一的一個代表時間的類，但是由于Date類不便于實現(xiàn)國際化，所以從JDK1.1版本開始，推薦使用Calendar類進行時間和日期處理。這里簡單介紹一下Date類的使用,需要的朋友可以參考下
2017-05-05
SpringMVC @NotNull校驗不生效的解決方案
這篇文章主要介紹了SpringMVC @NotNull校驗不生效的解決方案，具有很好的參考價值，希望對大家有所幫助。如有錯誤或未考慮完全的地方，望不吝賜教
2021-09-09
java實現(xiàn)把一個List集合拆分成多個的操作
這篇文章主要介紹了java實現(xiàn)把一個List集合拆分成多個的操作，具有很好的參考價值，希望對大家有所幫助。一起跟隨小編過來看看吧
2020-08-08
簡單了解java集合框架LinkedList使用方法
這篇文章主要介紹了簡單了解java集合框架LinkedList使用方法,文中通過示例代碼介紹的非常詳細，對大家的學習或者工作具有一定的參考學習價值,需要的朋友可以參考下
2020-08-08
JAVA內(nèi)存模型(JMM)詳解
這篇文章主要介紹了JAVA內(nèi)存模型(JMM)詳解的相關資料,需要的朋友可以參考下
2022-12-12
Java拖曳鼠標實現(xiàn)畫線功能的方法
這篇文章主要介紹了Java拖曳鼠標實現(xiàn)畫線功能的方法,需要的朋友可以參考下
2014-07-07
java靜態(tài)工具類注入service出現(xiàn)NullPointerException異常處理
如果我們要在我們自己封裝的Utils工具類中或者非controller普通類中使用@Autowired注解注入Service或者Mapper接口，直接注入是報錯的，因Utils用了靜態(tài)方法，我們無法直接用非靜態(tài)接口的，遇到這問題，我們要想法解決，下面小編就簡單介紹解決辦法,需要的朋友可參考下
2021-09-09