mybatis

mybatis（ORM框架---object relation mapping）

是一个支持普通的SQl查询，存储过程，高级映射的持久层框架。消除了JDBC代码和参数的手工设置，和结果集的检索。使用XMl或 注解用于配置和原始映射，将接口，与POJO--Plain Ordinary Java Object（普通java对象)映射成数据库中的记录。

1、${}和#{}

select * from user where name = "字符串"; select * from user where name = #{name};

select * from user where name = '${name}';

注：mybatis在对sql语句进行预编译之前，会对sql进行动态解析，解析为一个BoundSql对象。在动态解析阶段，#{}解析为？，${}解析为字符串,所以其在预编译是已经是常量了。

结论：a、${}替换是在SQL动态解析阶段，#{}替换是在DBMS--Database Management System中

b、#{}可以防止SQl注入，${}不行。

2、SQL注入（sql Injection）

通过把sql命令插入到Web表单递交，或输入域名，或请求查询字符串，最终达到欺骗服务器执行恶意的SQL指令。

如走表单的验证如id='1'，id='1' and '1'='1'

3、缓存

一级缓存：默认开启，不能关闭，是基于prepetualCache的HashMap本地缓存，存储作用域是Session，当Session flush或close，或增、删、改操作时，session的Cache将清空。

一级缓存的范围有SESSION和STATEMENT两种，默认是SESSION，用STATEMENT是每执行完一个Mapper后就将一级缓存清除。

二级缓存：默认启用，可关闭，但需在Mapper配置cache。二级缓存与一级机制相同，不同在于作用域是Mapper（namespace），也可自定义储备源。

二级缓存补充：

a. 映射语句文件中的所有select语句将会被缓存。

　　b. 映射语句文件中的所有insert，update和delete语句会刷新缓存。

　　c. 缓存会使用Least Recently Used（LRU，最近最少使用的）算法来收回。

　　d. 缓存会根据指定的时间间隔来刷新。

　　e. 缓存会存储1024个对象

cache的属性：

<cache eviction="FIFO" <!--回收策略为先进先出--> flushInterval="60000" <!--自动刷新时间60s--> size="512" <!--最多缓存512个引用对象--> readOnly="true"/> <!--只读-->

注意：当使用Spring整合后的Mybatis，不在同一个事务中的Mapper接口对应的操作也是没有一级缓存的，因为它们是对应不同的SqlSession。

对于同一个Mapper来讲，它只能使用一个Cache，当同时使用了<cache>和<cache-ref>时使用<cache>定义的优先级更高