1. #{}和${}的区别
#{}可以防止sql注入,会将传入的参数作为字符串来处理
${}将传入的参数拼接到SQL上然后直接执行,可能会遭到SQL注入攻击
SQL注入:
例如一条SQL语句:delete from t_table where t_id = ${value} and ..........;
这样的SQL语句在传入参数时如果传入的是"1 or 1 --"
那么第一个t_id的判断会失败,而后面的1会使整个where判断为true.后面的逻辑被--注释掉了.就会删除整个库.
为什么会有这样的区别?
MyBatis在底层实际还是使用JDBC与数据库进行交互,在底层的调用中,#{}会被解释成占位符?,使用set方法去设置值,会进行一定的检查.而${}则是直接进行替换.
在底层是SQL的两种方式:字符串拼接和占位符填充参数
2. MyBatis使用代理进行开发时,接口文件中的方法能不能重载?
不能进行重载,接口中的方法和xxxxxMapper.xml文件中的SQL是通过接口中方法名和xml文件中标签的id一一对应来进行映射的.进行重载的话就不是一一映射了.
