1.Mybatis的mapper文件中#{}和${}的区别
推荐#{}方式
取值引用:解析sql时,会将形参变量的值取出,并自动给其添加引号。
无SQL注入攻击风险:先用占位符替代参数将SQL语句先进行预编译,然后再将参数中的内容替换进来。由于SQL中的语句已经被预编译过,其SQL意图无法通过非法的参数内容实现更改其参数中的内容,无法成为SQL命令的一部分,可以防止SQL注入
${}方式
取值引用:解析sql时,将形参变量的值直接取出,并拼接显示在SQL中。
有SQL注入攻击风险:将形参和SQL语句直接拼接形成完整的SQL命令后,再进行编译,所以可以通过精心设计的形参变量的值,来改变原SQL语句的使用意图从而产生安全隐患,即为SQL注入攻击。
适用场景:参数为表名、字段名。
2.Mybatis的xml映射文件中,除了常见的select、insert、update、delete标签外,还有哪些标签
<resultMap>、<parameterMap>、<sql>为sql片段、通过<include>标签引入sql片段、<selectKey>为不支持自增的主键生成策略标签。
动态sql标签
trim|where|foreach|if|choose|when|otherwise|bind等
3.Mybatis缓存机制
默认情况下,Mybatis只开启一级缓存(一级缓存是对同一个SqlSession而言的)
一级缓存
是SqlSession级别的缓存。在操作数据库时需要构造SqlSession对象,在对象中有一个数据结构(HashMap)用于存储缓存数据。不同的是SqlSession之间的缓存数据区是互不影响的。
二级缓存
是Mapper级别的缓存,多个SqlSession去操作同一个Mapper的sql语句,多个Sqlsession可以共用二级缓存,二级缓存是跨SqlSession的。