Mybatis-#{xxx}和${xxx}的区别&&PreparedStatement和Statement的区别

已于 2022-04-06 23:56:16 修改
阅读量195 收藏
点赞数
分类专栏: Mybatis 文章标签: 后端 java
于 2022-04-05 00:12:08 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_25243147/article/details/123963235
版权
  • 预编译:数据库服务器在收到SQL语句后,会先去预编译缓存中查找该语句预编译的结果,如果找不到,则对SQL语句进行编译并将编译结果存入预编译缓存。
  • 客户端开启预编译,需要在建立连接时配置useServerPrepStmts=true&cachePrepStmts=true
    <environments default="development">
        <environment id="development">
            <transactionManager type="JDBC"/>
            <dataSource type="POOLED">
                <property name="driver" value="com.mysql.cj.jdbc.Driver"/>
                <property name="url" value="jdbc:mysql://localhost:3306/test?useServerPrepStmts=true&amp;cachePrepStmts=true"/>
                <property name="username" value="${username}"/>
                <property name="password" value="${password}"/>
            </dataSource>
        </environment>
    </environments>

  • 预编译的优点:在需要大量重复执行且只是参数不同的SQL语句,可以先将参数设置成占位符再交给数据库服务器进行预编译,这样后续的SQL语句不需要进行编译直接利用对应的编译结果进行参数设置再执行即可。

  • PreparedStatement:支持预编译和参数设置。在预编译/编译后再进行参数设置和执行。

  • Statement:不支持预编译和参数设置,直接发送SQL语句给数据库服务器进行编译和执行。

  • #{xxx}:当statementType等于默认的PREPARED时,Mybatis会将SQL语句中的#{xxx}换成占位符,再交给数据库服务器进行预编译/编译、参数设置和执行。当statementType等于STATEMENT时,会因占位符不能被识别而报错,因为Statement会直接进入编译和执行步骤,缺少参数设置方法。

  <select id="selectByPrimaryKey" parameterType="java.lang.Long" resultMap="BaseResultMap">
    select id, name, dept_id
    from employee
    where id = #{id,jdbcType=BIGINT}
  </select>

输出(statementType等于默认的PREPARED。要进行预编译的SQL语句里面的#{id}处用占位符 ? 替代)

2022-04-06 02:22:00,144 [main] DEBUG [com.wsh.mapper.EmployeeMapper.selectByPrimaryKey] - ==>  Preparing: select id, name, dept_id from employee where id = ?
2022-04-06 02:22:00,173 [main] DEBUG [com.wsh.mapper.EmployeeMapper.selectByPrimaryKey] - ==> Parameters: 1(Long)
2022-04-06 02:22:00,195 [main] DEBUG [com.wsh.mapper.EmployeeMapper.selectByPrimaryKey] - <==      Total: 1
  • ${xxx}:当statementType等于默认的PREPARED时,Mybatis首先将参数放入SQL语句,再交给数据库服务器进行预编译/编译、参数设置和执行,此处参数设置步骤没有任务。当statementType等于STATEMENT时,Mybatis首先将参数放入SQL语句,再交给数据库服务器进行编译和执行。 ${xxx}一般用于传输关于表或字段信息的值。
  <select id="selectByPrimaryKey" parameterType="java.lang.Long" resultMap="BaseResultMap">
    select id, name, dept_id
    from employee
    where id = ${id,jdbcType=BIGINT}
  </select>

输出(发送给数据库服务器进行预编译的SQL语句里面的${id}直接替换为对应参数值,但由于statementType等于默认的PREPARED,仍然有参数设置的步骤)

2022-04-06 02:25:00,149 [main] DEBUG [com.wsh.mapper.EmployeeMapper.selectByPrimaryKey] - ==>  Preparing: select id, name, dept_id from employee where id = 1
2022-04-06 02:25:00,175 [main] DEBUG [com.wsh.mapper.EmployeeMapper.selectByPrimaryKey] - ==> Parameters: 
2022-04-06 02:25:00,199 [main] DEBUG [com.wsh.mapper.EmployeeMapper.selectByPrimaryKey] - <==      Total: 1

#{xxx}的优点:
防止SQL注入。在编译前用占位符替换#{xxx},得到的编译结果的语法逻辑是确定好的,SQL语句中的占位符只是充当参数的作用。

qq_25243147
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Mybatis下动态sql##和$$的区别讲解
08-26
Mybatis下动态sql##和$$的区别讲解 Mybatis是一款流行的ORM框架,能够帮助开发者快速构建数据库交互应用程序。在Mybatis,动态SQL是一种强大特性,能够根据不同的输入参数生成不同的SQL语句。在Mybatis,使用...
Mybatis-Plus和Mybatis区别详解
09-07
MybatisMybatis-Plus是两个在Java开发广泛使用的持久层框架,它们都致力于简化数据库操作。Mybatis-Plus是对Mybatis的扩展和增强,提供了更多的便利功能,旨在进一步提高开发效率。 **Mybatis** 是一个轻量级的...
mybatis #{}相当于prepareStatement,${}相当于Statement
91奔跑的蜗牛
12-02 885
场景,测试下prepareStatementStatement 拼接 in 条件的情况。 prepareStatement 正常写法,执行成功 public static void main(String[] args) throws Exception{ Connection conn = JdbcUtils.getConn(); PreparedStatement ...
mybatis当做工具类解析sql和处理preparedStatement
Mickey的博客
10-18 797
package com.lenovoar.shtest; import com.lenovoar.shtest.dao.UserDao; import lombok.val; import org.apache.ibatis.builder.xml.XMLMapperBuilder; import org.apache.ibatis.executor.parameter.ParameterHan...
Mybatis的#{xxx}与${xxx}的区别
Allen8523的博客
06-24 408
1、#将传入的数据当成一个字符串,会自动传入的数据加双引号“”。 例如:where username = #{username}; 如果传入的值为123,那么解析sql时的值为where username = “111”。 2、$将传入的值直接显示生成在sql 例如:where username = ${username};如果传入的值为123,那么解析sql时的值为where username = 111。 在编写mybatis的映射语句时,尽量采用#{xxx},如果要使用...
#{}、${}、PreparedStatementStatement 详解
weixin_43601094的博客
06-06 315
#{}和${}的区别 类似于 PreparedStatementStatement区别。 #{}和PreparedStatement,会预编译sql语句,然后通过展符的方式进行赋值,并能够把java的数据类型转为jdbc类型,如java字符串“1”,会转为‘1’,java int类型1,会转为jdbc的int类型1,并且能够对特殊字符进行转义 ${}和Statement会直接拼接sql,不会进行处理,如sql语句String sql = "select * from table where column
面试-3.MyBatis#与$的区别,PrepareStatement
过河的小卒子的博客
07-26 909
MyBatis#与$的区别 1.MyBatis使用parameterType向SQL语句传参,parameterType支持的类型可以是基本类型int,String,HashMap和java自定义类型。 在SQL引用这些参数的时候,可以使用两种方式: #{parameterName} ${parameterName} ...
浅谈mybatis的#和$的区别
09-02
下面小编就为大家带来一篇浅谈mybatis的#和$的区别。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Mybatis#{}和${}传参的区别及#和$的区别小结
09-02
MyBatis框架,`#{}`和`${}`是两种不同的参数占位符,它们在处理传参时有着显著的差异,同时也关联到`#`和`$`的区别。理解这些差异对于编写安全且高效的SQL查询至关重要。 首先,`#{}`是MyBatis的预编译参数占位...
浅谈Mybatis #和$区别以及原理
08-18
浅谈Mybatis #和$区别以及原理 Mybatis是一款流行的持久层框架,它提供了两个占位符:#和$,它们均用于参数化SQL语句,但是它们的作用和原理却有所不同,本文将详细介绍这两者的区别和原理。 #和$的区别 在...
mybatis通过#{}、${}取值区别
weixin_43808717的博客
04-25 84
Statement执行SQL时是直接使用参数替换赋值的。 PrepareStatement执行SQL时是进行预编译将每一个参数转为 ? 然后如果set方法设置参数值。 使用#{}可以有效的防止 SQL 注入,提高系统安全可靠性。 ${} 和 #{}的区别其实就是 Statement 和 PrepareStatement区别,无论mybatis框架最后给我们封装成什么样其实底层都是JDBC的原理。 ...
关于PreparedStatementStatement
迷路剑客个人博客
10-30 953
关于PreparedStatementStatement 0x01 不同 看了一些网上的博客,主要结论有以下三点: Statement PreparedStatement 可读性 差,需要拼接字符串 高,可单独设置每个变量 预编译 普通sql无预编译 可配置开启预编译 安全性 差,可能被sql注入到拼接字段 强,sql提前预编译,传入的参数的字符串,如果有特殊字符会被...
MyBatis #{ } 和 ${ }
Ivy_Xinxxx的博客
08-21 328
区别】 #{ }是预编译处理,${ }是字符串替换 Mybatis在处理#{ } 时,会将sql的#{ }用一个占位符 ? 代替参数,然后调用PreparedStatement的set方法来赋值。 Mybatis在处理时,就是把{ }时,就是把时,就是把{ }替换成变量的值。 使用#{ } 可以有效的防止SQL注入,提高系统安全性。 【使用场景】 一般情况首选#{},因为这样能避免sql注入;如果需要传参 动态表名、动态字段名时,需要使用${} ​ 比如:select * f
#和$ 的区别 Statement和PreparedStatement区别
qq_45243872的博客
11-14 274
Statement -》有SQL注入风险 select * from user where uname=“admin” and pwd=“123456” -》 只要sql语句不一样就会编译一次 select * from user where uname=“admin” and pwd=“123467” -》 只要sql语句不一样就会编译一次 admin 123456 select * from user where uname=“dfa” or “1=1” and pwd=“2321” or “1
statement和prepareStatement区别
热门推荐
HaC 的博客
09-16 1万+
一、语法 两者的语法区别 statement语法 Statement stmt = connect.createStatement(); String sql= "SELECT * FROM cg_user WHERE userId=10086 AND name LIKE 'xiaoming'"; ResultSet rs = stmt.executeUpdate(sql); prepar...
JDBC与Mybatis区别
三少
08-05 4289
JDBC与Mybatis 1.JDBC是什么? java data base connectivity java数据库连接,是java连接数据库的标准,由sun公司提供的一组类和一组接口,由给个数据库厂商提供实现类 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-WiUSB7dK-1596624067003)(C:\Users\Administrator\AppData\Roaming\Typora\typora-user-images\1593584065073.png)]
java prepare_javaprepareStatement与createStatement区别
weixin_39832348的博客
02-16 226
首先来看两段代码:第一个使用createStatement()1 public void delete( intid){2 try{3 Connection c =DBUtil.getConnection();4 Statement s =c.createStatement();5 String sql = "...
【很有料】浅析Statement和PreparedStatement,SQL注入
daobuxinzi的博客
10-19 452
因为SQL语句在程序运行前已经进行了预编译,在程序运行时第一次操作数据库之前,SQL语句已经被数据库分析,编译和优化,对应的执行计划也会缓存下来并允许数据库已参数化的形式进行查询,当运行时动态地把参数传给PreprareStatement时,即使参数里有敏感字符如 or '1=1'也数据库会作为一个参数一个字段的属性值来处理而不会作为一个SQL指令,如此,就起到了SQL注入的作用了!这就是一个最简单sql注入的例子,输入包含sql命令的内容,欺骗服务器执行破坏数据。,直接删除了数据表,十分的危险。
Mybitis底层原理(源码剖析)及面试题
weixin_57256868的博客
04-23 2044
Mybitis底层原理(源码剖析)及面试题
mybatis#和$的区别
最新发布
06-07
MyBatis,#和$都是用于替换SQL语句的占位符的符号,但它们的处理方式不同。 #号表示占位符,通过预编译的方式将传入的参数值进行安全的替换,防止SQL注入攻击,同时将参数值转换为对应的JDBC类型。例如: ``` SELECT * FROM user WHERE id = #{userId} ``` 在执行SQL时,#{userId}会被替换为一个?号占位符,同时userId参数的值会被预编译并设置为PreparedStatement的参数值。 $号则表示直接替换,将SQL语句的占位符替换为传入的参数值,并不进行预编译和JDBC类型转换。例如: ``` SELECT * FROM user WHERE id = ${userId} ``` 在执行SQL时,${userId}会被替换为实际的参数值,不会进行预编译和JDBC类型转换,如果参数值存在SQL注入攻击的风险,就会导致SQL注入攻击。 因此,一般情况下我们建议使用#号进行参数替换,以保证SQL语句的安全性。但如果需要动态拼接SQL语句,或者需要使用一些特殊的SQL语法,可以使用$号进行参数替换。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值