mybatis 预编译

最新推荐文章于 2023-11-26 13:04:24 发布
最新推荐文章于 2023-11-26 13:04:24 发布
阅读量2.6k 收藏 2
点赞数 2
分类专栏: 开发规范 文章标签: mybatis 预编译 #{} ${} sql注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LoveInWar/article/details/89646085
版权

MyBatis预编译

<select id="getUserById" resultMap="UserMap" parameterType="java.util.String">
    select 
        id,username,password,age,sex 
    from 
        t_user_info 
    where 
        id=#{id}
</select>

打印SQL

select 
    id,username,password,age,sex 
from 
    t_user_info 
where 
    id=?

MyBatis非预编译

<select id="getUserById" resultMap="UserMap" parameterType="java.util.String">
    select 
        id,username,password,age,sex 
    from 
        t_user_info 
    where 
        id='${id}'
</select>

打印SQL

select 
    id,username,password,age,sex 
from 
    t_user_info 
where 
    id='1000001'

两者实际执行执行SQL相同

select 
    id,username,password,age,sex 
from 
    t_user_info 
where 
    id='10000001'

SQL注入攻击情况下(String id = "10000001' OR '1'='1";)

预编译打印SQL,实际执行SQL

select 
    id,username,password,age,sex 
from 
    t_user_info 
where 
    id=?
​
select 
    id,username,password,age,sex 
from 
    t_user_info 
where 
    id="10000001' OR '1'='1"(这里为方便理解将两边的'修改成了",实际为id='10000001' OR '1'='1',
但是效果为id="10000001' OR '1'='1")
如果没有id为“10000001' OR '1'='1”的信息返回null

非预编译打印SQL,实际执行SQL

select 
    id,username,password,age,sex 
from 
    t_user_info 
where 
    id='10000001' OR '1'='1'
​
select 
    id,username,password,age,sex 
from 
    t_user_info 
where 
    id='10000001' OR '1'='1'
无论有没有id为“10000001',均返回所有用户信息

总结

预编译(#{})会将SQL提前编译好,#{}位置为占位符,执行时候一个占位符就对应一个变量,不会影响到SQL结
构,所以不会存在SQL注入问题;
非预编译(${})不会提前编译SQL,${}位置会直接将变量拼接进来,会影响到SQL的本身机构

Mybatis的SQL缓存

Mybatis的预编译会将编译后的SQL缓存起来,再次遇到相同的SQL会直接使用不会再次编译

Mybatis的SQL优化

预编译阶段可以对sql语句进行优化;
预编译可以将多个操作步骤合并成一个步骤,一般而言,越复杂的sql,编译程度也会复杂,难度大,耗时,费性
能,而预编译可以合并这些操作,预编译之后DBMS可以省去编译直接运行sql。(节选https://www.jianshu.com
/p/59155963d790)

 

ListerGray
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
mybatis实现反编译
weixin_49215012的博客
03-18 387
mybatis实现反编译 一:创建 generatorConfig.xml <?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE generatorConfiguration PUBLIC "-//mybatis.org//DTD MyBatis Generator Configuration 1.0//EN" "http://mybatis.org/dtd/mybatis-generator-config_1_
mybatis jar包
04-18
- **${}**: 直接替换字符串,不进行预编译,一般用于动态表名或字段名。 6. **结果映射** - **自动映射**: MyBatis可以自动将结果集中列名映射到JavaBean的属性。 - **一对一/一对多映射**: 可以通过`...
Mybatis - 预编译的运用和原理
Zong_0915的博客
09-29 5303
首先我们来说下预编译的一个背景:我们知道一条SQL语句到达Mysql之后,Mysql并不是会马上执行它,而是需要经过几个阶段性的动作(细节的可以查看Mysql复习计划(一)- 字符集、文件系统和SQL执行流程缓存的检查。解析器解析。优化器解析。执行器执行。那么这几个阶段肯定是需要一定的时间的。而有时候我们一条SQL语句可能需要反复的执行,只不过里面的参数可能不一样,比如where子句中的条件。如果每次都需要经过上面的几个步骤,那么效率就会下降。因此为了解决这种问题,就出现了预编译
MyBatis预编译机制详解
热门推荐
weixin_34452850的博客
04-03 2万+
MyBatis预编译机制详解 一. "#{}“和”${}"的区别 "#{}"是将传入的值按照字符串的形式进行处理,如下面这条语句: select user_id,user_name from t_user where user_id = #{user_id} MyBaits会首先对其进行预编译,将#{user_ids}替换成?占位符,然后在执行时替换成实际传入的user_id值,**并在两边...
mybatis的非预编译
专栏
06-25 3630
在写这篇文章的时候我遇见了一个问题,我要动态的加载sql语句的表名,所以我采用了mybatis的非预编译方法。 案例如下: select client_id, c_longitude, c_latitude, bd_longitude, bd_latitude, locationinfo, point_type, clientdate
mybatis预制SQL语句
ppwwp的专栏
04-30 330
<sql id="Base_Column_List">id,ts</sql> <select id="query" parameterType="com.pojo.RuleSetBean" resultMap="resultMap"> SELECT <include refid="Base_Column_List...
Mybatis为什么需要预编译等一系列问题
一个搬砖工人
08-31 357
因此,应该谨慎使用 ${},并确保传入的参数是安全的。这种方式可以避免 SQL 注入等安全问题,因为 MyBatis 会自动对参数进行转义和预处理,确保生成的 SQL 语句是安全的。SQL 预编译是一种提高数据库访问效率的技术,它通过将 SQL 语句预编译并存储在数据库中,减少每次执行时需要进行解析和编译的开销,从而提高数据库访问的效率。相比之下,#{} 是预编译操作符,它会在预编译阶段对参数进行转义和预处理,确保生成的 SQL 语句是安全的。中,并对其进行适当的转义,以确保生成的 SQL 语句是安全的。
MyBatis批量插入(insert)数据操作
09-02
MyBatis中,批量插入数据是一种提高性能的有效方式,特别是在处理大量数据时。本文将详细介绍如何在MyBatis中实现批量插入,并通过一个具体的示例来说明。批量插入操作通常涉及以下关键步骤: 1. **实体类定义**...
MYBATIS111111111
04-21
`#{}` 用于预编译的 SQL 语句,可以防止 SQL 注入,而 `${}` 则是简单的字符串替换,适用于动态列名的情况。例如,使用 `#{}` 进行模糊查询时,MyBatis 会自动处理类型转换和安全防护。 总的来说,MyBatis 的核心...
mybatis 3.5.11
03-19
5. **ParameterHandler**: 负责设置SQL参数,可以是JDBC预编译语句的参数或动态SQL的变量。 6. **ResultSetHandler**: 处理查询结果,将数据库结果转换为Java对象。 **主要特性** 1. **动态SQL**: MyBatis允许在...
mybatis-generator
最新发布
06-17
10. **性能优化**:MBG生成的代码在生产环境中可能需要进一步优化,例如调整批处理操作、使用预编译的SQL语句(PreparedStatement)以及合理设计数据模型以减少数据冗余。 通过以上知识点,我们可以看出MyBatis ...
mybatis动态SQL
fendouderen的博客
08-21 619
mybatis动态SQL
SQL注入解决方案——使用MyBatis注解进行预编译
若言的博客
08-23 1648
SQL注入解决方案——使用MyBatis注解进行预编译
mysql预编译原理_Mybatis之开启MySQL的预编译功能
weixin_29862397的博客
02-19 848
最重要的参数,如下List-1:List-1useServerPrepStmts=true&&cachePrepStmts=true首先来看不加List-1参数的情况,如下List-2:List-2url=jdbc:mysql://127.0.0.1:3306/mjduan?useUnicode=true&characterEncoding=utf-8&useSSL...
Mybatis中#和$的区别及sql预编译
Anon
05-14 1985
动态SQL是Mybatis的强大特性之一。在使用Mybatis进行开发的过程中,经常需要动态传入参数。假如我们需要根据用户名称name来筛选用户,需要在映射文件中这样写: select * from user where name = #{name}; 或者 select * from user where name = ${name}; 在一般情况下, #{} 与 ${} 达到的效果是一致的,...
Mybatis源码分析】Mybatis 是如何实现预编译的?
qq_63691275的博客
08-25 763
Mybatis 实现预编译主要是在执行 sql 前,会调用一个 prepareStatement 方法进行预处理,会传一个 StatementHandler 对象进去,本质是一个 RoutingStatementHandler,但其构造方法其实就是一个路由的作用,内部封装了一个委托者才是真正的执行者。 其委托者实现了 instantiateStatement (实例化 Statement) 方法。该方法就是 Mybatis 实现预编译的关键。prepareStatement方法会调用 BaseStatem
mybatismybatis-plus Sql注入
黎子爱发呆博客
03-22 1306
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 mybatismybatis-plus ql注入前言一、SQL注入是什么?二、mybatis是如何做到防止sql注入的1. #{} 和 ${} 两者的区别2.什么是预编译三、mybatis-plus是如何做到防止sql注入的 前言 随着mybatismybatis-plus不断发展,目前已经成为市场流行的持久层框架,但是使用的过程中,使用不当的情况下还是可能会出现sql注入的风险,那么就简单的分析它们是如何来避免sql注入 一、S.
MyBatis技术原理(笔记三)
Dullon_jiang的博客
03-14 170
最近在看《深入浅出MyBatis技术原理与实践》,此篇作为读后笔记。 MyBatis 的解析和运行原理 MyBatis 的运行过程分为两大步: 第1步,读取配置文件缓存到Configuration 对象,用以创建SqlSessionFactory 。 第2步, SqlSession 的执行过程。 涉及的技术难点简介 MyBatis 的底层主要使用了动态代理来实现的,一般应用的是JDK反射机制提供的...
Mybatis预编译/即时sql 数据库连接池
weixin_63210321的博客
11-26 1114
而使用数据库连接池,程序启动时,会再数据库连接池中创建一定数量的Connection对象,当客户请求数据库连接,会从数据库连接池中获取Connection对象,然后执行sql,执行完毕之后再把Connection归还给连接池.如果不适用数据库连接池,每次执行sql语句,都要先创建一个连接,然后再执行sql语句,执行完还要关掉连接对象释放资源,这种重复的创建连接,销毁连接会比较消耗资源.对于#和$,他们有不同的使用场景.有的情况下,使用#是正确的,而有的情况下,使用#却会报错.
Mybatis预编译
05-08
Mybatis预编译是指在执行数据库操作之前,先将SQL语句编译成预编译语句,然后再执行该语句。预编译语句可以重复使用,从而提高了SQL语句的执行效率。 在Mybatis中,预编译可以通过使用参数化的SQL语句来实现。在...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值