Spring、Spring MVC 和 Spring Boot ,mybatis 相关面试题

tanxiaomi2025-11-25 17:27

关于 MyBatis 中 #{}${} 的本质区别

  • #{} 底层使用的是 PreparedStatement 预编译机制

    • MyBatis 会将 SQL 中的 #{xxx} 替换为 ?,生成一个参数化的 SQL 模板
    • 实际参数值通过 PreparedStatement.setXXX() 方法传入;
    • 所有参数都被视为纯数据(字面量),不会被数据库解析为 SQL 关键字或表达式;
    • 因此,天然具备防止 SQL 注入的能力,是安全的首选方式。

  • ${} 是纯粹的字符串替换

    • MyBatis 直接将 ${xxx} 替换为变量的字符串值,不做任何转义或类型处理
    • 最终拼接成一条完整的 SQL 字符串再发送给数据库;
    • 如果用户输入恶意内容(如 ' OR '1'='1),就会导致 SQL 注入漏洞
    • 仅在极少数场景下可谨慎使用 ,例如:
      • 动态表名(如按时间分表:user_202511);
      • 动态列名或排序字段(如 ORDER BY ${column});
    • 必须配合严格的白名单校验或输入过滤(如验证表名是否合法、是否来自可信来源),否则绝不允许使用。

📌 最佳实践
99% 的场景使用 #{};只有在明确知道风险并做好防护的前提下,才考虑使用 ${}

"雪花 ID 逆向找表"场景

动态分表 需求,确实可能需要用到 ${},例如:

复制代码 
<select id="getUser" resultType="User">
    SELECT * FROM user_${tableSuffix} WHERE id = #{id}
</select>

但关键在于:

  • tableSuffix 不能直接来自用户输入
  • 应由服务端根据雪花 ID 解析出时间,再映射到预定义的合法后缀 (如 202511);
  • 最好再加一层校验:if (!validSuffixes.contains(tableSuffix)) throw ...

这样才能在使用 ${} 的同时保证安全。

Spring、Spring MVC 和 Spring Boot 的区别与联系

Spring、Spring MVC 和 Spring Boot 都属于 Spring 全家桶,它们是层层递进、职责分明的关系。

  1. Spring Framework 是整个生态的基础

    它的核心是 IoC(控制反转)和 AOP(面向切面编程)

    • IoC 将对象(Bean)的创建和依赖关系管理交给 Spring 容器,开发者通过 依赖注入(DI) (如 @Autowired)获取 Bean,避免了硬编码的 new 操作,降低了组件耦合度;
    • AOP 通过动态代理实现日志、事务、权限等横切逻辑的统一处理,提升代码复用性。

  2. Spring MVC 是基于 Spring 的 Web 框架

    它采用 MVC 分层架构 (Model-View-Controller),用于构建 Web 应用或 RESTful 接口。

    核心流程是:

    • 请求由前端控制器 DispatcherServlet 拦截;
    • 通过 HandlerMapping 找到对应的 Controller 方法(Handler)
    • 经过参数解析、数据绑定(如 JSON 反序列化)后执行业务逻辑;
    • 若方法标注 @ResponseBody (或使用 @RestController),则直接将返回值序列化为 JSON 响应给前端;
      (传统模式会返回 ModelAndView,由视图解析器渲染页面,但现在主流是前后端分离,基本都用 @ResponseBody

  3. Spring Boot 是对 Spring 的进一步封装和简化

    它的核心理念是 "约定大于配置" + "开箱即用"

    • 通过 Starter 依赖 自动引入整合好的技术栈(如 spring-boot-starter-web = Spring MVC + 内嵌 Tomcat + Jackson);
    • 启动时自动扫描 classpath 下所有 JAR 包中的 META-INF/spring.factories (或新版的 AutoConfiguration.imports),加载自动配置类;
    • 自动配置类通过 条件注解 (如 @ConditionalOnClass(DataSource.class))判断是否生效------例如,只要 classpath 中有数据库驱动,就会自动配置 DataSourceJdbcTemplate 等 Bean;
    • 开发者无需手动配置 XML 或繁琐的 Java Config,直接注入即可使用,极大提升了开发效率。
相关推荐
Seven973 小时前
剑指offer-79、最⻓不含重复字符的⼦字符串
java
皮皮林55112 小时前
Java性能调优黑科技!1行代码实现毫秒级耗时追踪,效率飙升300%!
java
冰_河12 小时前
QPS从300到3100:我靠一行代码让接口性能暴涨10倍,系统性能原地起飞!!
java·后端·性能优化
桦说编程15 小时前
从 ForkJoinPool 的 Compensate 看并发框架的线程补偿思想
java·后端·源码阅读
躺平大鹅17 小时前
Java面向对象入门(类与对象,新手秒懂)
java
初次攀爬者18 小时前
RocketMQ在Spring Boot上的基础使用
java·spring boot·rocketmq
花花无缺18 小时前
搞懂@Autowired 与@Resuorce
java·spring boot·后端
Derek_Smart19 小时前
从一次 OOM 事故说起:打造生产级的 JVM 健康检查组件
java·jvm·spring boot
NE_STOP20 小时前
MyBatis-mybatis入门与增删改查
java
热门推荐
01GitHub 镜像站点02OpenClaw 使用和管理 MCP 完全指南03OpenClaw + 飞书(Feishu)环境搭建指南04【OpenClaw 本地实战 Ep.3】突破瓶颈:强制修改 openclaw.json 解锁 32k 上下文记忆05Claude Code + GLM4.7 避坑指南:解决 Unable to connect to Anthropic services06OpenClaw优化飞书API 额度已耗尽问题07OpenClaw大龙虾机器人完整安装教程08Clawdbot部署教程:解决‘gateway token missing’授权问题的完整步骤09Window 10部署openclaw报错node.exe : npm error code 12810小黑课堂计算机二级WPSoffice题库软件下载安装教程(2026年3月最新版)