Mybatis3(初级)

已于 2024-11-09 13:01:46 修改
阅读量849 收藏 12
点赞数 21
分类专栏: javaEE进阶 文章标签: java 开发语言
于 2024-11-09 12:59:28 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/syx050403/article/details/143556682
版权

常见面试题:Mybatis中#{}和${}符号的区别

1.只有#和$符号的区别,都可以使用

2.$(即时sql)符号是直接拼接,而#(预编译sql)是根据类型进行传参,

当$符号直接进行字符串拼接就要进行自己加引号,但是#的话就会根据类型自动转化

如果是通过注解的话就是要在sql语句上面加

sql执行顺序:

1:编译sql->      2:优化sql->       3:执行sql

预编译sql:就是sql中会有内存,多次使用相同的sql语句,会自动优化掉编译过程。缓存起来

性能更高,更安全(防止sql注入),预编译sql就是把位置给你留着,只能在这个位置里面放东西。

即时sql:就是走上面的三步流程没有优化 。直接拼接的行为。

即时sql会发生sql注入,什么是sql注入:

比如

这个语句本来是输入' or 1='1但是变成了或者的意思,因为是字符串拼接,就会发生sql注入也就是被篡改原意思被恶意攻击。

但是现在mybatis做了一些限制

这种已经表明是select 语句了就不让删除。

什么时候能用$:

比如这时候我们想写一句sql语句:

selec * from userinfo order by id desc

这里的desc并没有变成字符串的引号,所以只能用$ ,用#会自动转成字符串

在我们不想给string上引号,使用$,但是我们必须考虑的问题就是sql注入。

能用#不用$

问题出现:如果这时候又发生了sql注入怎么办,后面传了个drop怎么办:

1.在controller这里面先卡住是不是asc或者desc

2.或者我们在接口中定义asc或desc如下图

sql中like查询

模糊匹配查询

当我们使用模糊匹配的时候发现了一个问题 这时候要使用$符号进行字符串拼接,这时候就会发生sql注入的问题

解决方案:使用concat进行字符串拼接

数据库的连接池

没有的话重复获取销毁,有的话在池中放很多链接,用的时候拿一个,没用的时候放回去

mybatis默认使用Hikari,Druid是阿里的产品

总结:

mysql企业开发规范:

1. 表名, 字段名使⽤⼩写字⺟或数字, 单词之间以下划线分割. 尽量避免出现数字开头或者两个下划线中间只出现数字. 数据库字段名的修改代价很⼤, 所以字段名称需要慎重考虑。
         MySQL 在 Windows 下不区分⼤⼩写, 但在 Linux 下默认是区分⼤⼩写. 因此, 数据库名, 表名, 字 段名都不允许出现任何⼤写字⺟, 避免节外⽣枝
正例: aliyun_admin, rdc_config, level3_name
反例: AliyunAdmin, rdcConfig, level_3_name
2. 表必备三字段: id, create_time, update_time,也可能只有一个字段
       id 必为主键, 类型为 bigint unsigned, 单表时⾃增, 步⻓为 1 create_time, update_time 的类型均为 datetime 类型, create_time表⽰创建时间, update_time表⽰更新时间 有同等含义的字段即可, 字段名不做强制要求
3. 在表查询中, 避免使⽤ * 作为查询的字段列表, 标明需要哪些字段(课堂上给⼤家演⽰除外).
      增加查询分析器解析成本
      增减字段容易与 resultMap 配置不⼀致
      ⽆⽤字段增加⽹络消耗, 尤其是 text 类型的字段

03 mybatis初级.rar
01-04
MyBatis初级学习阶段,我们通常会接触到以下几个关键概念和步骤: 1. **配置文件**:MyBatis 的核心配置文件(mybatis-config.xml)是整个框架的起点,它包含了数据源、事务管理器、环境等信息。同时,它也...
mybatis初级学习‘配置模式’
07-02
mybatis的配置开发 第一部分:**目标** > * 能够使用映射配置文件实现CRUD操作 > * 能够使用注解实现CRUD操作 里面包含了品牌数据的 `查询` 、`按条件查询`、`添加`、`删除`、`批量删除`、`修改` 等功能,而这些功能...
Mybatis - 预编译的运用和原理
Zong_0915的博客
09-29 6685
首先我们来说下预编译的一个背景:我们知道一条SQL语句到达Mysql之后,Mysql并不是会马上执行它,而是需要经过几个阶段性的动作(细节的可以查看Mysql复习计划(一)- 字符集、文件系统和SQL执行流程缓存的检查。解析器解析。优化器解析。执行器执行。那么这几个阶段肯定是需要一定的时间的。而有时候我们一条SQL语句可能需要反复的执行,只不过里面的参数可能不一样,比如where子句中的条件。如果每次都需要经过上面的几个步骤,那么效率就会下降。因此为了解决这种问题,就出现了预编译。
MyBatis拼接字符串的几种方式
热门推荐
qq_34786108的博客
04-04 1万+
MyBatis拼接字符串的几种方式
MyBatis中#与$的区别深度解析
最新发布
weixin_52721608的博客
01-28 869
MyBatis中,#和$分别代表预编译参数和字符串拼接。它们在处理SQL语句中的参数时有着不同的行为。MyBatis中#与的区别主要在于预编译参数和字符串拼接的处理方式。使用#可以确保SQL代码的安全性,但可能会影响性能;使用可以提高性能,但需要注意防止SQL注入攻击。在实际开发中,应根据具体需求选择合适的符号。希望本文能够帮助读者更好地理解和使用MyBatis中的#与$。
mybatis 拼接_关于 Mybatis的 $ 和 # , 你真的知道他们的细节吗?
weixin_39580715的博客
12-09 789
前言在JDBC中,主要使用的是两种语句,一种是支持参数化和预编译的PrepareStatement,能够支持原生的Sql,也支持设置占位符的方式,参数化输入的参数,防止Sql注入,一种是支持原生Sql的Statement,有Sql注入的风险。在使用Mybatis进行开发过程中,隐藏了底层具体使用哪一种语句的细节,我们通过使用#和$告诉Mybatis,我们实际上进行的是怎么样的操作,需要对语句进行参...
(九)Mybatis的#{}占位符和${}拼接符的区别
秦怀杂货店
06-26 5393
注:代码已托管在GitHub上,地址是:https://github.com/Damaer/Mybatis-Learning,项目是mybatis-05-CURD,需要自取,需要配置maven环境以及mysql环境,觉得有用可以点个小星星,小菜鸟在此Thanks~ 1.#{}占位符 1.#{}占位符可以用来设置参数,如果传进来的是基本类型,也就是(string,long,double,in...
mybatis初级入门
11-13
本教程旨在提供一个MyBatis初级入门指导,通过实例和API的介绍,帮助初学者快速理解并掌握这一框架。 1. **MyBatis简介** MyBatis最初由Clinton Begin创建,后来成为开源社区的一个重要项目。它解决了传统DAO...
Mybatis初级教程压缩包下载
本资源包名为“03 mybatis初级”,意味着它包含的是MyBatis初级入门教程,旨在帮助新手了解并掌握MyBatis框架的基本使用方法。通过本教程,用户可以学习到如何搭建MyBatis环境、进行基本的配置、实现简单的CRUD...
MyBatis中的#{}和${}的区别
weixin_62988359的博客
01-04 4130
当我们在Java代码中使用Map或者注解的方式来传递参数时,MyBatis会将参数值替换到#{}的位置上。从上面的示例可以看出,当我们需要插入不可信的参数值时,使用${}可能会导致SQL注入的风险。因此,为了确保程序的安全性,推荐在MyBatis中使用#{}进行参数绑定和预编译。在MyBatis框架中,我们在编写SQL语句时,经常会遇到参数绑定的问题。为此,MyBatis提供了两种参数占位符符号#{}和${},来帮助我们方便地插入参数值。在这个例子中,${username}是一个字符串替换的占位符。
mybatis的使用
qishiheyongshi的专栏
06-21 624
mybatis的使用
MyBatis 动态拼接sql ${ } 与 #{ }的区别 作为查询查询条件 特殊操作符
xdtz_z的博客
04-16 652
MyBatis 动态拼接sql ${ } 与 #{ }的区别 作为查询查询条件 特殊操作符 推荐浏览: MyBatis官网文档 1.动态拼接 a、直接传值拼接sql语句 用${传递的参数} b、作为参数传值 用#{传递的参数,参数的类型} 简单说明 ${ } 与 #{ } #{ }是预编译,${ }是字符串拼接 编译后 #{ }会自动加上单引号,${ }不会加上单引号 #{ }能防止sql注入 ${ }不能防止sql注入 #{} 和 ${} 在使用中的技巧和建议 a: 不论是单个参数,还是多个
06MyBatis技巧(#{}和${}/)
m0_46671240的博客
01-12 1003
CarMapper.xml,放在类的根路径下:注意namespace必须和接口名一致。id必须和接口中方法名一致。
mybatis中什么情况下必须使用 ${},#{}与${}的区别
Ahuuua的博客
01-28 8143
mybatis中如果我们使用#{}的方式编写的sql时,#{} 对应的变量自动加上单引号 ' ' 例如: select * from #{param} 当我们给参数传入值为user时,他的sql是这样的: select * from 'user' 参数user上会带着单引号,而单引号在mysql中会被识别为字符串,select一个字符串肯定是会报错的。 而如果我们使用${}的方式编写的sql时,${} 是进行sql拼接,${}对应的变量是不会被加上单引号 ' ' 的。 sele..
MyBatis 中的 PreparedStatement 预编译,不是你想的那么简单!
Java精选
06-15 2254
前言大家都知道,Mybatis内置参数,形如#{xxx}的,均采用了sql预编译的形式,大致知道mybatis底层使用PreparedStatement,过程是先将带有占位符(即”?”)的sql模板发送至mysql服务器,由服务器对此无参数的sql进行编译后,将编译结果缓存,然后直接执行带有真实参数的sql。如果你的基本结论也是如此,那你就大错特错了。目录mysql是否默...
MyBatis源码分析(二)prepareStatement预编译的执行流程
lz710117239的博客
06-16 3401
通常我们如果自己写建立数据库连接的代码的时候,都会这么写 pstmt = conn.prepareStatement(sql); pstmt.setString(1, email); result = pstmt.executeQuery(); 而Mybatis是怎么封装,又是怎么进行预编译的呢,今天就一文让你理解Mybatis的原理 一、获取Executor 我们之前一篇文章《MyBatis源码分析(一)基本请求流程》讲了Mybatis执行的基本流程,包括Plugin插件。 其实在执行过程中,所有的sq
SQL注入解决方案——使用MyBatis注解进行预编译
若言的博客
08-23 1832
SQL注入解决方案——使用MyBatis注解进行预编译
Mybatis拼接参数和字符串
JonyM的博客
08-25 2948
concat(#{param},’,’)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值