Spring、Spring MVC 和 Spring Boot ,mybatis 相关面试题

tanxiaomi2025-11-25 17:27

关于 MyBatis 中 #{}${} 的本质区别

  • #{} 底层使用的是 PreparedStatement 预编译机制

    • MyBatis 会将 SQL 中的 #{xxx} 替换为 ?,生成一个参数化的 SQL 模板
    • 实际参数值通过 PreparedStatement.setXXX() 方法传入;
    • 所有参数都被视为纯数据(字面量),不会被数据库解析为 SQL 关键字或表达式;
    • 因此,天然具备防止 SQL 注入的能力,是安全的首选方式。

  • ${} 是纯粹的字符串替换

    • MyBatis 直接将 ${xxx} 替换为变量的字符串值,不做任何转义或类型处理
    • 最终拼接成一条完整的 SQL 字符串再发送给数据库;
    • 如果用户输入恶意内容(如 ' OR '1'='1),就会导致 SQL 注入漏洞
    • 仅在极少数场景下可谨慎使用 ,例如:
      • 动态表名(如按时间分表:user_202511);
      • 动态列名或排序字段(如 ORDER BY ${column});
    • 必须配合严格的白名单校验或输入过滤(如验证表名是否合法、是否来自可信来源),否则绝不允许使用。

📌 最佳实践
99% 的场景使用 #{};只有在明确知道风险并做好防护的前提下,才考虑使用 ${}

"雪花 ID 逆向找表"场景

动态分表 需求,确实可能需要用到 ${},例如:

复制代码 
<select id="getUser" resultType="User">
    SELECT * FROM user_${tableSuffix} WHERE id = #{id}
</select>

但关键在于:

  • tableSuffix 不能直接来自用户输入
  • 应由服务端根据雪花 ID 解析出时间,再映射到预定义的合法后缀 (如 202511);
  • 最好再加一层校验:if (!validSuffixes.contains(tableSuffix)) throw ...

这样才能在使用 ${} 的同时保证安全。

Spring、Spring MVC 和 Spring Boot 的区别与联系

Spring、Spring MVC 和 Spring Boot 都属于 Spring 全家桶,它们是层层递进、职责分明的关系。

  1. Spring Framework 是整个生态的基础

    它的核心是 IoC(控制反转)和 AOP(面向切面编程)

    • IoC 将对象(Bean)的创建和依赖关系管理交给 Spring 容器,开发者通过 依赖注入(DI) (如 @Autowired)获取 Bean,避免了硬编码的 new 操作,降低了组件耦合度;
    • AOP 通过动态代理实现日志、事务、权限等横切逻辑的统一处理,提升代码复用性。

  2. Spring MVC 是基于 Spring 的 Web 框架

    它采用 MVC 分层架构 (Model-View-Controller),用于构建 Web 应用或 RESTful 接口。

    核心流程是:

    • 请求由前端控制器 DispatcherServlet 拦截;
    • 通过 HandlerMapping 找到对应的 Controller 方法(Handler)
    • 经过参数解析、数据绑定(如 JSON 反序列化)后执行业务逻辑;
    • 若方法标注 @ResponseBody (或使用 @RestController),则直接将返回值序列化为 JSON 响应给前端;
      (传统模式会返回 ModelAndView,由视图解析器渲染页面,但现在主流是前后端分离,基本都用 @ResponseBody

  3. Spring Boot 是对 Spring 的进一步封装和简化

    它的核心理念是 "约定大于配置" + "开箱即用"

    • 通过 Starter 依赖 自动引入整合好的技术栈(如 spring-boot-starter-web = Spring MVC + 内嵌 Tomcat + Jackson);
    • 启动时自动扫描 classpath 下所有 JAR 包中的 META-INF/spring.factories (或新版的 AutoConfiguration.imports),加载自动配置类;
    • 自动配置类通过 条件注解 (如 @ConditionalOnClass(DataSource.class))判断是否生效------例如,只要 classpath 中有数据库驱动,就会自动配置 DataSourceJdbcTemplate 等 Bean;
    • 开发者无需手动配置 XML 或繁琐的 Java Config,直接注入即可使用,极大提升了开发效率。
相关推荐
Sunshine for you16 分钟前
C++中的职责链模式实战
开发语言·c++·算法
@我漫长的孤独流浪30 分钟前
Python编程核心知识点速览
开发语言·数据库·python
qq_4160187237 分钟前
C++中的状态模式
开发语言·c++·算法
2401_8845632438 分钟前
模板代码生成工具
开发语言·c++·算法
code 小楊43 分钟前
yrb 1.5.0 正式发布:Python 极简国内下载加速与全景可视化终端体验!
开发语言·python
2401_831920741 小时前
C++代码国际化支持
开发语言·c++·算法
2401_851272991 小时前
自定义内存检测工具
开发语言·c++·算法
章鱼丸-1 小时前
DAY31 文件的拆分和写法
开发语言·python
左左右右左右摇晃2 小时前
Java并发——synchronized锁
java·开发语言
☆5662 小时前
C++中的命令模式
开发语言·c++·算法
热门推荐
01GitHub 镜像站点02Qwen3.5 开源全解析:从 0.8B 到 397B,代际升级 + 全场景选型指南03围棋-html版本04小黑课堂计算机二级WPSoffice题库软件下载安装教程(2026年3月最新版)05班级宠物园部署指南06OpenClaw 使用和管理 MCP 完全指南07AI 编程三剑客:Spec-Kit、OpenSpec、Superpowers 深度对比与实战指南08UV安装并设置国内源09OpenClaw Control UI安全上下文访问配置10“wsl --install -d Ubuntu-22.04”下载慢,中国地区离线安装 Ubuntu 22.04 WSL方法(亲测2025年5月6日)