mybatis #和$

     PrepareStatement:预编译支持参数化以及占位符,防止sql注入

     Statement:有sql注入风险 

正文

       #{} 的参数替换是发生在 DBMS 中,而 ${} 则发生在动态解析过程中。

例如:select * from order where id=#{orderId}和select * from order where id='${orderId}'.

#:静态解析-- select * from order where id=?.已占位符的形式。在预处理时,会把参数部分用一个占位符 。

 $:动态解析的,  select * from order where id=123456. 后果:比如参数 orderId='123456' or '1=1'.就可以把所有的订单数据都拿出来。

区别

#方式能够很大程度防止sql注入。
$方式无法防止Sql注入。
$方式一般用于传入数据库对象,例如传入表名、字段名(order by xxx)
一般能用#的就别用$.


为什么需要预编译

JDBC 中使用对象 PreparedStatement 来抽象预编译语句,使用预编译

  1. 预编译阶段可以优化 sql 的执行
    预编译之后的 sql 多数情况下可以直接执行,DBMS 不需要再次编译,越复杂的sql,编译的复杂度将越大,预编译阶段可以合并多次操作为一个操作。

  2. 预编译语句对象可以重复利用
    把一个 sql 预编译后产生的 PreparedStatement 对象缓存下来,下次对于同一个sql,可以直接使用这个缓存的 PreparedState 对象。

mybatis 默认情况下,将对所有的 sql 进行预编译。


评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值