首先说明,mybatis默认情况下会将所有的sql进行预编译。
1.什么是预编译
sql预编译指的是数据库驱动在发送sql语句和参数给DBMS(Database Management System)之前,JDBC使用PreparedStatement对象来抽象预编译语句,使用预编译。预编译后产生的PreparedStatement对象会缓存下来,这样DBMS在执行语句相同而参数不同的sql时,可以直接使用PreparedStatement对象,不需要进行重新编译。
2. # 和 $ 的区别
mybatis在对sql语句进行预编译之前,会对sql进行动态解析,解析为一个BoundSql对象,对动态sql中的 # 和 $处理也在此处
#{ } :解析为一个JDBC预编译语句的菜蔬标识符
select * from user where name = #{name} 解析为 select * from user where name =?
一个#{ } 解析为一个占位符 ?
${ } : 仅仅为一个纯粹的String替换,在动态sql解析阶段会进行变量替换
select * from user where name = ${name} 解析为 select * from user where name = "帅哥"
可见使用${name},预编译之前name已经不是变量了,而是一个常量"帅哥"
ps:${ }变量替换在动态sql解析阶段 #{ }变量替换在DBMS中
3.能使用#{ }的地方就用#{ }
预编译的sql可以重复利用,性能比${ }好。
${}在预编译钱已经被变量替换,会造成sql注入问题
select * from ${tabelname} where name = #{name}
假设我们的参数tablename为“user;delete user;--” 那么在sql动态解析阶段,预编译之前的sql就变为了
select * from user;delete user;-- where name = ?
--之后的语句作为注释,不起作用。而前半部分的语句偷偷包含了一个删除表数据的sql!!!!
4.表名作为变量时,必须使用${ }
表名是一个字符串,使用#{}时占位符替换参数时会带上单引号‘’,这会导致sql错误
select * from #{tabelname} where name = #{name} 变为
select * from ‘user’ where name = '帅哥'
sql语法表名加单引号是错误的,需要反引号