Spring、Spring MVC 和 Spring Boot ,mybatis 相关面试题

tanxiaomi2025-11-25 17:27

关于 MyBatis 中 #{}${} 的本质区别

  • #{} 底层使用的是 PreparedStatement 预编译机制

    • MyBatis 会将 SQL 中的 #{xxx} 替换为 ?,生成一个参数化的 SQL 模板
    • 实际参数值通过 PreparedStatement.setXXX() 方法传入;
    • 所有参数都被视为纯数据(字面量),不会被数据库解析为 SQL 关键字或表达式;
    • 因此,天然具备防止 SQL 注入的能力,是安全的首选方式。

  • ${} 是纯粹的字符串替换

    • MyBatis 直接将 ${xxx} 替换为变量的字符串值,不做任何转义或类型处理
    • 最终拼接成一条完整的 SQL 字符串再发送给数据库;
    • 如果用户输入恶意内容(如 ' OR '1'='1),就会导致 SQL 注入漏洞
    • 仅在极少数场景下可谨慎使用 ,例如:
      • 动态表名(如按时间分表:user_202511);
      • 动态列名或排序字段(如 ORDER BY ${column});
    • 必须配合严格的白名单校验或输入过滤(如验证表名是否合法、是否来自可信来源),否则绝不允许使用。

📌 最佳实践
99% 的场景使用 #{};只有在明确知道风险并做好防护的前提下,才考虑使用 ${}

"雪花 ID 逆向找表"场景

动态分表 需求,确实可能需要用到 ${},例如:

复制代码 
<select id="getUser" resultType="User">
    SELECT * FROM user_${tableSuffix} WHERE id = #{id}
</select>

但关键在于:

  • tableSuffix 不能直接来自用户输入
  • 应由服务端根据雪花 ID 解析出时间,再映射到预定义的合法后缀 (如 202511);
  • 最好再加一层校验:if (!validSuffixes.contains(tableSuffix)) throw ...

这样才能在使用 ${} 的同时保证安全。

Spring、Spring MVC 和 Spring Boot 的区别与联系

Spring、Spring MVC 和 Spring Boot 都属于 Spring 全家桶,它们是层层递进、职责分明的关系。

  1. Spring Framework 是整个生态的基础

    它的核心是 IoC(控制反转)和 AOP(面向切面编程)

    • IoC 将对象(Bean)的创建和依赖关系管理交给 Spring 容器,开发者通过 依赖注入(DI) (如 @Autowired)获取 Bean,避免了硬编码的 new 操作,降低了组件耦合度;
    • AOP 通过动态代理实现日志、事务、权限等横切逻辑的统一处理,提升代码复用性。

  2. Spring MVC 是基于 Spring 的 Web 框架

    它采用 MVC 分层架构 (Model-View-Controller),用于构建 Web 应用或 RESTful 接口。

    核心流程是:

    • 请求由前端控制器 DispatcherServlet 拦截;
    • 通过 HandlerMapping 找到对应的 Controller 方法(Handler)
    • 经过参数解析、数据绑定(如 JSON 反序列化)后执行业务逻辑;
    • 若方法标注 @ResponseBody (或使用 @RestController),则直接将返回值序列化为 JSON 响应给前端;
      (传统模式会返回 ModelAndView,由视图解析器渲染页面,但现在主流是前后端分离,基本都用 @ResponseBody

  3. Spring Boot 是对 Spring 的进一步封装和简化

    它的核心理念是 "约定大于配置" + "开箱即用"

    • 通过 Starter 依赖 自动引入整合好的技术栈(如 spring-boot-starter-web = Spring MVC + 内嵌 Tomcat + Jackson);
    • 启动时自动扫描 classpath 下所有 JAR 包中的 META-INF/spring.factories (或新版的 AutoConfiguration.imports),加载自动配置类;
    • 自动配置类通过 条件注解 (如 @ConditionalOnClass(DataSource.class))判断是否生效------例如,只要 classpath 中有数据库驱动,就会自动配置 DataSourceJdbcTemplate 等 Bean;
    • 开发者无需手动配置 XML 或繁琐的 Java Config,直接注入即可使用,极大提升了开发效率。
相关推荐
百***86462 小时前
Spring Boot应用关闭分析
java·spring boot·后端
弥巷2 小时前
【Android】常见滑动冲突场景及解决方案
android·java
浮尘笔记2 小时前
Go并发编程核心:Mutex和RWMutex的用法
开发语言·后端·golang
散峰而望2 小时前
C++数组(一)(算法竞赛)
c语言·开发语言·c++·算法·github
间彧2 小时前
GraalVM 深度解析:下一代 Java 技术平台
java
wjs20242 小时前
C++ 指针
开发语言
合作小小程序员小小店2 小时前
网页开发,在线%旧版本旅游管理%系统,基于eclipse,html,css,jquery,servlet,jsp,mysql数据库
java·数据库·servlet·eclipse·jdk·旅游·jsp
20岁30年经验的码农2 小时前
Java Sentinel流量控制与熔断降级框架详解
java·开发语言·sentinel
程序员西西2 小时前
SpringBoot轻松整合Sentinel限流
java·spring boot·后端·计算机·程序员
热门推荐
01GitHub 镜像站点02【保姆级教程】免费使用Gemini3的5种方法!免翻墙/国内直连03BongoCat - 跨平台键盘猫动画工具04UV安装并设置国内源05Google Antigravity:无法登录?早期错误、登录修复和用户反馈指南06安娜的档案(Anna’s Archive) 镜像网站/国内最新可访问入口(持续更新)07Linux下V2Ray安装配置指南08Spring Boot 4.0 发布总结:新特性、依赖变更与升级指南09Labelme从安装到标注:零基础完整指南10全球最强模型Grok4,国内已可免费使用!(附教程)