Mybatis中的StatementType与动态解析时#{}和${}的不同

最新推荐文章于 2024-03-11 06:45:00 发布
原创 最新推荐文章于 2024-03-11 06:45:00 发布 · 505 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了Mybatis中的StatementType,重点解析了预编译执行机制,阐述了#{}与${}在动态SQL解析时的区别。预编译能提高SQL执行效率和安全性,但限制了其在某些场景(如表名、列名)的使用。建议尽量使用#{ }以避免SQL注入问题。

在项目中使用orm框架Mybatis对数据库进行相关操作,使用Mybatis最大的好处是可以使用动态sql。所谓动态sql就是Mybatis对sql进行预编译之前会对sql语句进行动态解析,动态解析处理之后会进行预编译,最后数据库驱动再发送sql和参数到DB执行。

Statement的执行机制

Statement的excute方法直接将SQL语句作为参数传入并提交给数据库执行 -> 数据库引擎对SQL语句进行编译得到数据库可执行代码 -> 执行SQL语句。这就表示,每次提交SQL都需要经过编译再执行。

预编译执行机制

一、预编译语句

通常一条SQL从被数据库接收到执行完毕返回,会经历以下三个过程:

  1. 词法和语义解析;
  2. 优化sql语句,制定执行计划;
  3. 执行并返回结果。

在很多情况下,一条SQL语句可能需要反复执行,或者每次执行的时候只有个别的值不同(比如query的where子句值不同,update的set子句不同,insert的values值不同)。如果每次都需要经过上面的词法语义解析、语句优化、制定执行计划等,则效率就明显不行了。预编译语句就是将上述sql语句中的值用占位符替代,可以视为将sql语句模板化或者说参数化。

二、PreparedStatement的预编译机制

  1. 获取预编译语句:数据库驱动在发送sql和参数到DB之前,会先调用Connection.prepareStatement(String sql)方法将该sql语句直接提交给MySQL数据库服务器进行编译处理(获取预编译语句可以从三个渠道获取:本地缓存的预编译语句、调用MySQL服务端编译接口获取预编译语句、客户端预编译接口获取预编译语句。注意MySQL的老版本(4.1之前)是不支持服务端预编译的),得到PreparedStatement 预编译语句对象。得到的PreparedStatement对象其实是一个预编译好的SQL语句。
  2. 之后调用excute方法会直接将该预编译好的语句提交给MySQL数据库运行,不需要再次编译,提高了效率;
  3. Mybatis 默认情况下,将对所有的 sql 进行预编译处理。Mybatis中使用 statementType来设置编译类型,默认是PreparedStatement。

三、使用预编译可以带来哪些好处

  • 提高效率(一次编译、多次运行,省去了解析优化等过程)
  1. 预编译可以将多个操作步骤合并成一个步骤,一般而言,越复杂的sql,编译程度也会复杂,难度大,耗时,费性能,而预编译可以合并这些操作,预编译之后DBMS可以省去编译直接运行sql;
  2. 预编译语句可以重复利用,Mybatis如果开启缓存,会把一个 sql 预编译后产生的 PreparedStatement 对象缓存下来,下次对于同一个sql,在执行预编译时会先去判断是否存在缓存,如果存在则直接使用这个缓存的 PreparedStatement 对象,然后对参数清空,绑定新的参数。如果不存在则调用数据库进行预编译处理生成一个新的PreparedStatement对象。
  • 提高安全性:防止sql注入。

#{}和${}在动态解析时的区别

Mybatis动态解析时,对于变量的值替换发生在不同阶段。

  1. #{ } 解析为一个 JDBC 预编译语句(prepared statement)的占位符(?),变量替换完成是在MySQL服务器中;
  2. ${ } 仅仅为一个纯碎的 String 替换,在动态 SQL 解析阶段将会进行变量替换,MySQL服务器拿到的即为执行的sql。

总结

预编译的局限性
由于预编译时数据库会进行词法和语义的解析、生成执行计划,因此占位符只能占位SQL语句中的普通值,而表名、列名、关键字等影响编译的部分是不可以使用占位符的(也就是不能使用#{}传参,而是需要使用${}传参)。因此,order by中排序的参数ASC和排序字段都只能使用${}传参(例如: order by ${column} ${ASC})。

#与$的使用场景

  1. 能使用#{ }的地方就使用#{ },这样不仅可以提高SQL执行的效率,还可以防止SQL注入;
  2. 表名、列名、关键字等必须使用${}。

${}传参的类型为String时的处理

如果使用${}来传参,如果参数类型为字符串,我们需要在服务端在该字符串两端拼接上“ ' ”与“ ' ”,否则在动态解析时,该字符串参数会被省掉引号,只把值拼到sql中,如下:

update table_name set name = ${"张三"} where id = 1;动态解析后会变成update table_name set name = 张三 where id = 1

update table_name set name = ${" '张三' "} where id = 1;动态解析后会变成update table_name set name = '张三' where id = 1

这里需要说明的是并不是使用${}一定会产生注入。是否会产生注入与是否预编译有关。

参考:预编译语句(Prepared Statements)介绍,以MySQL为例

打水花
关注
Mybatis源码之StatementType
波波烤鸭的博客
04-28 2262
  在mybatisStatementType的值决定了由什么对象来执行我们的SQL语句。本文来分析下在mybatis中具体是怎么处理的。 StatementType 1.StatementType枚举   StatementType是一个枚举类型。如下: /** * @author Clinton Begin */ public enum StatementType { STATEME...
MyBatis内置XML元素解析解析自定义标签——快速掌握MyBatis自定义标签开发
AI天才研究院
07-28 2178
作为一个技术人员,一定要懂得把自己的知识通过有效的表达传递给他人。我认为把自己的知识通过文章的方式进行传播是非常有必要的。这也是技术博客文章的重要性。MyBatis 是 Apache 基金会的一个开源项目,它是一个优秀的持久层框架,可以用于 Java 的应用开发。MyBatis 提供了强大的映射工具,使得数据库操作得简单而方便。MyBatisMyBatis-Spring 中也提供了 Spring MyBatis 之间的集成支持。
解决mybatis的mapper文件中错误:应为 <statement> 或 DELIMITER,得到 ‘id‘
m0_63902952的博客
08-21 4491
2.找到 编辑器,按如下操作,最后确认。3、 如需中文版,可下载中文版插件。
mybatis之执行sql语句
wang0907的博客
08-19 4513
写在前面 通过这篇文章的分析,已经生成了可以执行的sql语句了,本文来分析SQL语句具体的执行过程。 想要系统学习的,可以参考这篇文章,重要!!!。
Mybatis常用标签详解
阿钟小哥的博客
07-26 1万+
MyBatis 真正强大在于它的语句映射,这是它的魔力所在。由于它的异常强大,映射器的 XML文件就显得相对简单。如果拿它跟具有相同功能的 JDBC 代码进行对比,你会立即发现省掉了将近 95% 的代码。MyBatis致力于减少使用成本,让用户能更专注于 SQL 代码。
最近遇到关于mybatis#$的一个坑
专注
07-13 1593
大多数开发同学比较清楚MyBatis/Ibatis中#$的区别,#方式能够很大程度防止sql注入,$方式无法防止Sql注入。所以,老同学对新同学说,最好用#。有些特例是需要关注的,有的候需要用$解决一些实际问题。最近遇到的一个例子是,表里的数据大概有6000多万,都是城市A的数据,因为公司扩张到了B城市,为了区分,最快的方式在在关联查询的候加上一个#{cityName},实际运行后,某一个
statementTypeSTATEMENT,PREPARED 或 CALLABLE
java牛牛的博客
02-04 8753
statementType说明 statementTypeSTATEMENT,PREPARED 或 CALLABLE(存储过程) 的一个。这会让 MyBatis 分别使用 Statement,PreparedStatement 或 CallableStatement,默认值:PREPARED。 <?xml version="1.0" encoding="UTF-8" ?> <!...
Mybatis动态调用表名字段名的解决方法
09-01
本文将深入探讨如何在Mybatis中实现动态调用表名字段名。 首先,了解Mybatis中两种参数占位符的区别:`#{}``${}`。`#{}`被解析为预编译语句(PreparedStatement)的参数标记符,比如`#{name}`会被解析为`?`,这...
MyBatis使用动态表或列代码解析
08-28
在本文中,我们介绍了MyBatis使用动态表或列代码解析的三种方式:预编译、非预编译仍旧使用非预编译。每种方式都有其优缺,选择哪种方式取决于具体的业务需求。预编译是最安全最推荐的方式。
MyBatis3源码深度解析(八)MyBatis常用工具类(一)SQL工具类
最新发布
挑灯日记 记录自己
03-11 1824
如果SQL语句比较复杂,则需要在代码中对SQL语句进行拼接,当条件不固定,还需要根据条件进行不同的拼接,同还要注意空格、逗号等的使用。由 源码3 可知,AbstractSQL类负责完成SQL语句的构造工作,其内部维护了一个内部类SQLStatement对象的实例,一系列上面列举的构造SQL语句的方法。方法处理 UPDATE 子句,由其传入的参数可知,关键字keyword是"UPDATE",关键字子集parts是名为tables的集合,这个集合保存了表的名称。如上面的示例所示,SQL工具类可以调用。
五、MyBatis中的statementType详解
weixin_33704591的博客
02-13 2696
在mapper文件中可以使用statementType标记使用什么对象操作SQL语句statementType:标记操作SQL的对象 取值说明: 1、STATEMENT:直接操作sql,不进行预编译,获取数据:$--Statement 2、PREPARED:预处理,参数,进行预编译,获取数据:#--PreparedStatement:默认 3、CALLABLE:执行存储过程—Call...
Mybatis#{}${}statementType的结合
weixin_48680790的博客
10-24 1782
#{}:以预编译的形式进行查询,所有要传的参数均用?代替, ${}:以传输值的方式查询,有SQL注入的危险。 当指定statementType属性: 1.#{}PREPARED //#{}PREPARED /* <select statementType="PREPARED" id="selectUserById" resultType="org.example.pojo.User"> select * from t_user WHERE id = #{id}
MyBatis #{} ${}
weixin_43014205的博客
01-09 1447
#{} 表示一个占位符号 自动进行java类型jdbc类型转换 可以有效防止SQL注入 可以接受简单类型或者pojo属性值 如果parameterType传输单个数据类型,#{}括号中可以是value或其他名称   SELECT * FROM `customer` where cust_name like '%#{value}%';  SELECT * FROM `custom...
MyBatis 记录 2 - 参数 StatementType
c123m的专栏
07-19 247
statementType:标记操作SQL的对象。在mapper文件中可以使用statementType标记使用什么对象操作SQL语句。 取值说明 1、STATEMENT:直接操作sql,不进行预编译,获取数据:$--Statement 2、PREPARED:预处理,参数,进行预编译,获取数据:#--PreparedStatement:默认 3、CALLABLE:执行存储过程—CallableStatement 其中如果在文件中,取值不同,那么获取参数的方式也不同 <update id=
彻底搞懂MyBaits中#{}${}的区别
热门推荐
緑水長流*z
07-11 3万+
MyBatis的`#{}`之所以能够预防SQL注入是因为底层使用了`PreparedStatement`类的`setString()`方法来设置参数,此方法会获取传递进来的参数的每个字符,然后进行循环对比,如果发现有敏感字符(如:单引号、双引号等),则会在前面加上一个`'/'`代表转义此符号,让其为一个普通的字符串,不参SQL语句的生成,达到防止SQL注入的效果。 **其次`${}`本身设计的初衷就是为了参SQL语句的语法生成**,自然而然会导致SQL注入的问题(不会考虑字符过滤问题)。
mybatis 方法 statementType 声明为"STATEMENT"
aa1382525的专栏
11-19 526
statementType="STATEMENT"(非预编译) , #{xxx}  的#就不能用了  需要换成${xxx}
MyBatis${}的用法
jushisi的博客
08-27 5937
参考: https://blog.youkuaiyun.com/weixin_44142296/article/details/96436951 ‘${}’ 传列名,使用聚合函数 表t_user有如下4 个字段:id 、name、 age 、 consume_amt 如果需求是有候是要age的平均数, 有的是consume_amt的平均数,那么可以把列表传到SQL中查询。如下: mapper.xml <select id="getAvg" parameterType="java.lang.Strin.
[mybatis]Mapper XML 文件——statementType
weixin_30666753的博客
08-15 358
statementTypeSTATEMENT,PREPARED 或 CALLABLE(存储过程) 的一个。这会让 MyBatis 分别使用 Statement,PreparedStatement 或 CallableStatement,默认值:PREPARED。 <?xml version="1.0" encoding="UTF-8" ?> <!DOCTYPE mapp...
Mybatis使用${}使用#{}
站在墙头上的博客
03-11 7124
Mybatis${}#{}的区别1、使用#{}2、使用${}3、总结 印象中一直认为使用Mybatis肯定能防止sql注入,前两天才发现我太天真了。防止sql注入也是有条件的,这我们就要了解下Mybatis${}#{}的使用了。 1、使用#{} Mybatis在对#{}进行预处理,会把#{}处理成占位符,实际执行的候才会把参数替换进去,相当于jdbc的PreparedStatement...
MyBatis Select映射器使用示例解析
MyBatis是目前流行的Java持久层框架,它通过简单的XML或注解的方式将对象数据库表进行映射,从而避免了几乎所有的JDBC代码以及设置参数获取结果集的工作。MyBatis可以使用XML文件来配置SQL语句、传递参数以及...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值