PreparedStatement会对SQL语句进行预编译,在第一次执行SQL语句前,数据库会对语句进行分析、编译、优化。同时执行计划会被数据库缓存起来,它允许数据库进行做参数化查询。在使用参数化查询的情况下,数据库不会将参数的内容视为SQL语句的一部分,而是作为一个字段的属性值来处理。
MyBatis官方例子:
<select id="selectPerson" parameterType="int" resultType="hashmap">
SELECT * FROM PERSON WHERE ID = #{id}
</select>
相当于是
String selectPerson = "SELECT * FROM PERSON WHERE ID=?";
PreparedStatement ps = conn.prepareStatement(selectPerson);
ps.setInt(1,id);
注:在MyBatis解析xml映射文件的时候,就将#{}替换成?。
假设id的值:"'test' or 1=1"
最后执行的语句是(注:这边生成的语句是由druid的日志里面截取出来的)
select * from PERSON where ID = '''test'' or 1=1'
并不能像用${}一样得到所有值。会被转义掉。