mybatis 预编译

最新推荐文章于 2023-08-31 14:12:41 发布
最新推荐文章于 2023-08-31 14:12:41 发布
阅读量2.6k 收藏 2
点赞数 2
分类专栏: 开发规范 文章标签: mybatis 预编译 #{} ${} sql注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LoveInWar/article/details/89646085
版权

MyBatis预编译

<select id="getUserById" resultMap="UserMap" parameterType="java.util.String">
    select 
        id,username,password,age,sex 
    from 
        t_user_info 
    where 
        id=#{id}
</select>

打印SQL

select 
    id,username,password,age,sex 
from 
    t_user_info 
where 
    id=?

MyBatis非预编译

<select id="getUserById" resultMap="UserMap" parameterType="java.util.String">
    select 
        id,username,password,age,sex 
    from 
        t_user_info 
    where 
        id='${id}'
</select>

打印SQL

select 
    id,username,password,age,sex 
from 
    t_user_info 
where 
    id='1000001'

两者实际执行执行SQL相同

select 
    id,username,password,age,sex 
from 
    t_user_info 
where 
    id='10000001'

SQL注入攻击情况下(String id = "10000001' OR '1'='1";)

预编译打印SQL,实际执行SQL

select 
    id,username,password,age,sex 
from 
    t_user_info 
where 
    id=?
​
select 
    id,username,password,age,sex 
from 
    t_user_info 
where 
    id="10000001' OR '1'='1"(这里为方便理解将两边的'修改成了",实际为id='10000001' OR '1'='1',
但是效果为id="10000001' OR '1'='1")
如果没有id为“10000001' OR '1'='1”的信息返回null

非预编译打印SQL,实际执行SQL

select 
    id,username,password,age,sex 
from 
    t_user_info 
where 
    id='10000001' OR '1'='1'
​
select 
    id,username,password,age,sex 
from 
    t_user_info 
where 
    id='10000001' OR '1'='1'
无论有没有id为“10000001',均返回所有用户信息

总结

预编译(#{})会将SQL提前编译好,#{}位置为占位符,执行时候一个占位符就对应一个变量,不会影响到SQL结
构,所以不会存在SQL注入问题;
非预编译(${})不会提前编译SQL,${}位置会直接将变量拼接进来,会影响到SQL的本身机构

Mybatis的SQL缓存

Mybatis的预编译会将编译后的SQL缓存起来,再次遇到相同的SQL会直接使用不会再次编译

Mybatis的SQL优化

预编译阶段可以对sql语句进行优化;
预编译可以将多个操作步骤合并成一个步骤,一般而言,越复杂的sql,编译程度也会复杂,难度大,耗时,费性
能,而预编译可以合并这些操作,预编译之后DBMS可以省去编译直接运行sql。(节选https://www.jianshu.com
/p/59155963d790)

 

ListerGray
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
MyBatis经典面试题详细
02-17
MyBatis简介 MyBatis是什么? ORM是什么 为什么说Mybatis是半自动ORM映射工具?它与全自动的区别在哪里? 传统JDBC开发存在的问题 JDBC编程有哪些不足之处,MyBatis是如何解决这些问题的? Mybatis优缺点 MyBatis框架适用场景 Hibernate 和 MyBatis 的区别 MyBatis的解析和运行原理 MyBatis编程步骤是什么样的? 请说说MyBatis的工作原理 MyBatis的功能架构是怎样的 MyBatis的框架架构设计是怎么样的 为什么需要预编译 Mybatis都有哪些Executor执行器?它们之间的区别是什么? Mybatis中如何指定使用哪一种Executor执行器? Mybatis是否支持延迟加载?如果支持,它的实现原理是什么?
mybatis笔记.zip
08-21
1. MyBatis基础: MyBatis是一个支持自定义SQL、存储过程和高级映射的持久层框架。 MyBatis通过XML或注解的方式将Java对象映射到数据库中的SQL语句。 2. 配置文件和配置项: mybatis-config.xml是MyBatis的主配置文件,其中包含了数据库连接信息、类型别名、映射器配置等。 配置项如数据源、事务管理器、缓存配置、全局设置等可在配置文件中进行定义。 3. 映射器文件: 映射器文件(Mapper XML)定义了SQL语句和映射规则。每个映射器文件对应一个数据访问接口。 映射器文件中定义了SQL语句、参数映射、结果映射等。 4. SQL语句映射: MyBatis支持静态SQL和动态SQL。使用<select>、<insert>、<update>、<delete>等元素来定义SQL语句。 使用${}和#{}来插入参数,其中${}会直接替换,#{}会被预编译防止SQL注入。 5. 参数映射: 参数映射使用#{}或${}来引用参数,#{}使用PreparedStatement,$${}直接替换。 6. 结果映射: 结果映射将查询结果映射到
java培训 | Mybatis 中的 PreparedStatement 预编译
weixin_45695430的博客
05-26 494
前言 大家都知道,Mybatis内置参数,形如#{xxx}的,均采用了sql预编译的形式,大致知道mybatis底层使用PreparedStatement,过程是先将带有占位符(即”?”)的sql模板发送至mysql服务器,由服务器对此无参数的sql进行编译后,将编译结果缓存,然后直接执行带有真实参数的sql。如果你的基本结论也是如此,那你就大错特错了。 1. mysql是否默认开启了预编译功能? mysql是否支持预编译有两层意思: db是否支持预编译 连接数据库的url是否指定了需要预编译,比
mybatis预制SQL语句
ppwwp的专栏
04-30 323
<sql id="Base_Column_List">id,ts</sql> <select id="query" parameterType="com.pojo.RuleSetBean" resultMap="resultMap"> SELECT <include refid="Base_Column_List...
Mybatis 的7大天坑,你都踩过吗?
zhuzj12345的博客
03-20 400
大多数开发者应该都使用过Hibernate或者Mybatis的框架,或多或少都踩过一些坑! 如在MyBatis/Ibatis中#和$的区别,#方式能够很大程度防止sql注入,$方式无法防止Sql注入。所以,老司机 对新手说,最好用#。简单的说#{}是经过预编译的,是安全的,而是未经过预编译的,仅仅是取变量的值,是安全的,存在sql注入。有些特例是需要关注的,有的时候需要用 解决解决一些实际问题...
Mybatis - 预编译的运用和原理
Zong_0915的博客
09-29 4852
首先我们来说下预编译的一个背景:我们知道一条SQL语句到达Mysql之后,Mysql并不是会马上执行它,而是需要经过几个阶段性的动作(细节的可以查看Mysql复习计划(一)- 字符集、文件系统和SQL执行流程缓存的检查。解析器解析。优化器解析。执行器执行。那么这几个阶段肯定是需要一定的时间的。而有时候我们一条SQL语句可能需要反复的执行,只不过里面的参数可能不一样,比如where子句中的条件。如果每次都需要经过上面的几个步骤,那么效率就会下降。因此为了解决这种问题,就出现了预编译
MyBatis预编译机制详解
热门推荐
weixin_34452850的博客
04-03 2万+
MyBatis预编译机制详解 一. "#{}“和”${}"的区别 "#{}"是将传入的值按照字符串的形式进行处理,如下面这条语句: select user_id,user_name from t_user where user_id = #{user_id} MyBaits会首先对其进行预编译,将#{user_ids}替换成?占位符,然后在执行时替换成实际传入的user_id值,**并在两边...
Mybatis为什么需要预编译等一系列问题
一个搬砖工人
08-31 301
因此,应该谨慎使用 ${},并确保传入的参数是安全的。这种方式可以避免 SQL 注入等安全问题,因为 MyBatis 会自动对参数进行转义和预处理,确保生成的 SQL 语句是安全的。SQL 预编译是一种提高数据库访问效率的技术,它通过将 SQL 语句预编译并存储在数据库中,减少每次执行时需要进行解析和编译的开销,从而提高数据库访问的效率。相比之下,#{} 是预编译操作符,它会在预编译阶段对参数进行转义和预处理,确保生成的 SQL 语句是安全的。中,并对其进行适当的转义,以确保生成的 SQL 语句是安全的。
mybatis动态SQL
fendouderen的博客
08-21 594
mybatis动态SQL
SQL注入解决方案——使用MyBatis注解进行预编译
若言的博客
08-23 1604
SQL注入解决方案——使用MyBatis注解进行预编译
MySQL预编译功能详解
12-16
本文为大家分享了MySQL预编译功能,供大家参考,具体内容如下 1、预编译的好处   大家平时都使用过JDBC中的PreparedStatement接口,它有预编译功能。什么是预编译功能呢?它有什么好处呢?   当客户发送一条SQL语句给服务器后,服务器总是需要校验SQL语句的语法格式是否正确,然后把SQL语句编译成可执行的函数,最后才是执行SQL语句。其中校验语法,和编译所花的时间可能比执行SQL语句花的时间还要多。   如果我们需要执行多次insert语句,但只是每次插入的值不同,MySQL服务器也是需要每次都去校验SQL语句的语法格式,以及编译,这就浪费了太多的时间。如果使用预编译功能
MyBatis批量插入(insert)数据操作
09-02
本文给大家分享MyBatis批量插入(insert)数据操作知识,常不错,具有参考借鉴价值,感兴趣的朋友一起学习吧
mybatis知识点总结.docx
08-21
MyBatis知识点总结 MyBatis是一款优秀的持久层框架,为Java应用程序提供了数据库访问的灵活性和高度可控性。以下是关于MyBatis的一些重要知识...使用${}和#{}来插入参数,其中${}会直接替换,#{}会被预编译防止SQL注入
MyBatis中#号与美元符号的区别
08-31
#{变量名}可以进行预编译、类型匹配等操作,#{变量名}会转化为jdbc的类型。很多朋友不清楚在mybatis中#号与美元符号的不同,接下来通过本文给大家介绍两者的区别,感兴趣的朋友参考下吧
node-v14.17.3-darwin-x64.tar.xz
04-22
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和阻塞I/O模型,这使得它常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
c语言UDP传输系统源码.rar
04-22
c语言UDP传输系统源码.rar
node-v16.2.0-darwin-x64.tar.xz
最新发布
04-22
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和阻塞I/O模型,这使得它常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
基于matlab多目标遗传算法matlab程序.rar
04-22
基于matlab多目标遗传算法matlab程序.rar
MCSkinn (我的世界)皮肤制作工具
04-22
软件可以给需要制作自己喜爱的MC皮肤的玩家来自己制作皮肤,快来下载吧!
模拟MyBatis预编译
07-13
对于模拟MyBatis预编译,你可以使用Java中的PreparedStatement类来达到类似的效果。PreparedStatement是一个预编译的SQL语句对象,它可以在执行时接受参数并将其填充到SQL语句中。 下面是一个简单的示例代码,展示了如何使用PreparedStatement来模拟MyBatis预编译: ```java import java.sql.*; public class Main { public static void main(String[] args) { try { // 创建连接 Connection conn = DriverManager.getConnection("jdbc:mysql://localhost:3306/mydatabase", "username", "password"); // 创建预编译的SQL语句 String sql = "SELECT * FROM users WHERE id = ?"; PreparedStatement stmt = conn.prepareStatement(sql); // 设置参数 stmt.setInt(1, 1); // 执行查询 ResultSet rs = stmt.executeQuery(); // 处理结果集 while (rs.next()) { int id = rs.getInt("id"); String name = rs.getString("name"); System.out.println("ID: " + id + ", Name: " + name); } // 关闭连接 rs.close(); stmt.close(); conn.close(); } catch (SQLException e) { e.printStackTrace(); } } } ``` 在这个示例中,我们首先创建了一个连接,然后使用PreparedStatement对象创建了一个预编译的SQL语句。接下来,我们使用set方法设置了参数的值,然后调用executeQuery方法执行查询。最后,我们通过遍历结果集来处理查询结果。 请注意替换连接URL中的数据库名称、用户名和密码以及SQL语句中的表名和列名,以适应你的实际情况。 这样,你就可以通过使用PreparedStatement类来模拟MyBatis预编译。希望对你有帮助!

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值