JDBC预编译、Mybatis的 #{} 与 ${} 使用区别

JDBC预编译

1.预编译语句

预编译语句PreparedStatement是java.sql中的一个接口，它是Statement的子接口。通过Statement对象执行sql语句时，需要将sql语句发送给DBMS,由DBMS首先进行编译再执行（在创建通道的时候并不进行sql的编译工作，事实上也无法进行编译）。而通过PreparedStatement不同，在创建PreparedStatement对象时就指定了sql语句，该语句立即发送给DBMS进行编译，当该语句被执行时，DBMS直接运行编译后的sql语句，而不需要像其他sql语句那样首先将被编译。

2.使用时机

当语句格式固定的时我们倾向于使用PreparedStatement；只有当语句格式无法预见时，才考虑使用Statement。

3.为什么使用预编译语句

1、提高效率
当需要数据库进行数据插入、更新或者删除的时候，程序给发送整个sql语句给数据库处理和执行。数据库处理一条sql语句，需要完成对sql语句的解析、检查语法以及生成代码；一般来说，处理时间要比执行sql的时间长。预编译语句在创建的时候就已经将sql语句发送给了DBMS，完成了解析、检查语法以及生成代码的过程。因此，当一个sql语句需要执行多次时，使用预编译语句可以减少处理时间，提高执行效率。
2、提高安全性
恶意的sql语句
String sql = “select * from user_tb where username= ‘”+username+”’ and password = ‘”+password+”’;
如果我们把[‘or’1’=’1]作为password传入，用户名随意，那么就可以随意登陆了。更有甚者，把[‘;drop table user_tb;]作为password传入，这就严重危害了数据库安全了。而如果你使用预编译语句，你传入的任何内容就不会和原来的语句发生任何匹配的关系，只要全是用预编译语句，你就用不着对传入的数据进行任何的过滤。

Mybatis的 #{}、${}

1.#{}、${}作用

#{}和${}作用一样：可以获取map中的值或者pojo对象属性的值

2.区别

#{}：是以预编译的形式，将参数设置到sql语句中
${}：取出的值直接拼装在sql语句中

3.注意

原生jdbc不支持占位符的地方我们就可以使用${}进行取值
比如分表、排序。。。；按照年份分表拆分
select * from ${year}_salary where xxx;
select * from tbl_employee order by ${f_name} ${order}