一、结论
#{}:占位符号,好处是防止sql注入。
${}:sql拼接符号。
二、具体分析
动态 SQL 是 mybatis 的强大特性之一,也是它优于其他 ORM 框架的一个重要原因。mybatis 在对 sql 语句进行预编译之前,会对 sql 进行动态解析,解析为一个 BoundSql 对象,也是在此处对动态 SQL 进行处理的。在动态 SQL 解析阶段, #{ } 和 ${ } 会有不同的表现,其中并未在Mybatis中举例。
2.1、 #{ }解释
#{ }:解析为一个 JDBC 预编译语句(PreparedStatement)的参数标记符,例如Mapper.xml中如下的 sql 语句:
SELECT * FROM dept_emp WHERE emp_no = #{emp_no} AND dept_no = #{dept_no }会动态解析为如下语句,然后会用PreparedStatement的set方法设置值:
SELECT * FROM dept_emp WHERE emp_no = ? AND dept_no = ?在此省略Mybatis,用如下例子:
@Test
public void testOne() throws Exception {
Class.forName("com.mysql.jdbc.Driver");
Connection connection = DriverManager.getConnection("jdbc:mysql://127.0.0.1:3306/testone", "root", "root");
// 用PreparedStatement
PreparedStatement statement = connection.prepareStatement("SELECT * FROM dept_emp WHERE emp_no = ? AND dept_no = ?");
statement.setInt(1, 10001);
statement.setString(2, "d001");
// 正常设置参数
ResultSet rs = statement.executeQuery();
System.out.println("查询开始---");
while (rs.next()) {
int emp_no = rs.getInt("emp_no");
String dept_no = rs.getString("dept_no");
System.out.println(emp_no + "," + dept_no);
}
System.out.println("查询结束---");
rs.close();
statement.close();
connection.close();
}
// 运行结果
查询开始---
10001,d001
查询结束---然后将:
statement.setString(2, "d001");这句代码换成如下:
st.setString(2, "' OR 1=1 --'");
// 运行结果
查询开始---
查询结束---会发现,无法查询到结果,原因是一个 #{ } 被解析为一个参数占位符 ?,然后用 PreparedStatement的set方法如(st.setString(2, “’ OR 1=1 –’”))设置参数,执行set方法的时候会进行转义,将一些注入特殊字符和一些注入的SQL过滤。
2.2、 ${ }解释
${ } 仅仅为一个纯碎的String替换,在动态 SQL 解析阶段将会进行变量替换,例如Mapper.xml中如下的 sql:
SELECT * FROM dept_emp WHERE emp_no = ${emp_no} AND dept_no = ${dept_no }当我们传递的参数10001,”d001”时,上述sql的解析为:
SELECT * FROM dept_emp WHERE emp_no = 10001 AND dept_no = "d001"在此省略Mybatis,用如下例子:
@Test
public void testTwo() throws Exception {
Class.forName("com.mysql.jdbc.Driver");
Connection connection = DriverManager.getConnection("jdbc:mysql://127.0.0.1:3306/testone", "root", "root");
// 这里是用Statement
Statement statement = connection.createStatement();
int emp_no = 10001;
String dept_no = "d001";
// 拼接字符串
ResultSet rs = statement.executeQuery("SELECT * FROM dept_emp WHERE emp_no = " + emp_no + " AND dept_no = '" + dept_no + "'");
System.out.println("查询开始---");
while (rs.next()) {
int param1 = rs.getInt("emp_no");
String param2 = rs.getString("dept_no");
System.out.println(param1 + "," + param2);
}
System.out.println("查询结束---");
rs.close();
statement.close();
connection.close();
}
// 运行结果
查询开始---
10001,d001
查询结束---然后将:
String dept_no = "d001";这句代码换成如下:
String dept_no = "' OR 1=1 --'";
// 然后语句就是
SELECT * FROM dept_emp WHERE emp_no = 10001 AND dept_no = '' OR 1=1 --''
// 运行结果
查询开始---
10001,d001
10002,d001
10003,d004
10004,d004
查询结束---预编译之前的SQL语句已经不包含变量了,完全已经是常量数据了, 综上所得, ${ } 变量的替换阶段是在动态SQL解析阶段过程中,而 #{ }变量的替换是发生在DBMS中。
三、用法
3.1、能使用 #{ } 的地方就用 #{ }
首先这是为了性能考虑的,相同的预编译 sql 可以重复利用。其次,${ } 在预编译之前已经被变量替换了,这会存在 sql 注入问题,就像上面讲到的一样。例如,如下的 sql:
select * from ${tableName} where name = #{name}假如我们的参数 tableName 为 user; delete user; - -,那么 SQL 动态解析阶段之后,预编译之前的 sql 将变为:
select * from user; delete user; -- where name = ?;两个横杠之后的语句将作为注释,不起作用,因此本来的一条查询语句偷偷的包含了一个删除表数据的 SQL。
3.2.表名作为变量时,必须使用 ${ }
这是因为,表名是字符串,使用 sql 占位符替换字符串时会带上单引号 ”,这会导致 sql 语法错误,例如:
select * from #{tableName} where name = #{name};预编译之后的sql 变为:
select * from ? where name = ?;假设我们传入的参数为 tableName = “user” , name = “Jack”,那么在占位符进行变量替换后,sql 语句变为:
select * from 'user' where name='Jack';上述 sql 语句是存在语法错误的,表名不能加单引号 ”(注意,反引号 “是可以的)。
四、sql预编译
4.1. 定义:
sql 预编译指的是数据库驱动在发送 sql 语句和参数给 DBMS 之前对 sql 语句进行编译,这样 DBMS 执行 sql 时,就不需要重新编译。
4. 2. 为什么需要预编译
JDBC 中使用对象 PreparedStatement 来抽象预编译语句,使用预编译。预编译阶段可以优化 sql 的执行。预编译之后的 sql 多数情况下可以直接执行,DBMS 不需要再次编译,越复杂的sql,编译的复杂度将越大,预编译阶段可以合并多次操作为一个操作。预编译语句对象可以重复利用。把一个 sql 预编译后产生的 PreparedStatement 对象缓存下来,下次对于同一个sql,可以直接使用这个缓存的 PreparedState 对象。mybatis 默认情况下,将对所有的 sql 进行预编译。
11万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
