JDBC预编译、Mybatis的 #{} 与 ${} 使用区别

最新推荐文章于 2023-01-25 11:59:40 发布
最新推荐文章于 2023-01-25 11:59:40 发布
阅读量838 收藏
点赞数
分类专栏: Java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43327091/article/details/98748666
版权
本文详细介绍了JDBC预编译语句的原理与使用时机,阐述了预编译能提高效率和增强安全性。同时,探讨了Mybatis中#{...}与${...}的区别,#{...}用于预编译,而${...}则是直接拼接SQL,提醒开发者在特定场景下合理选择占位符。
摘要由CSDN通过智能技术生成

JDBC预编译

1.预编译语句

预编译语句PreparedStatement是java.sql中的一个接口,它是Statement的子接口。通过Statement对象执行sql语句时,需要将sql语句发送给DBMS,由DBMS首先进行编译再执行(在创建通道的时候并不进行sql的编译工作,事实上也无法进行编译)。而通过PreparedStatement不同,在创建PreparedStatement对象时就指定了sql语句,该语句立即发送给DBMS进行编译,当该语句被执行时,DBMS直接运行编译后的sql语句,而不需要像其他sql语句那样首先将被编译。

2.使用时机

当语句格式固定的时我们倾向于使用PreparedStatement;只有当语句格式无法预见时,才考虑使用Statement。

3.为什么使用预编译语句

1、提高效率
当需要数据库进行数据插入、更新或者删除的时候,程序给发送整个sql语句给数据库处理和执行。数据库处理一条sql语句,需要完成对sql语句的解析、检查语法以及生成代码;一般来说,处理时间要比执行sql的时间长。预编译语句在创建的时候就已经将sql语句发送给了DBMS,完成了解析、检查语法以及生成代码的过程。因此,当一个sql语句需要执行多次时,使用预编译语句可以减少处理时间,提高执行效率。
2、提高安全性
恶意的sql语句
String sql = “select * from user_tb where username= ‘”+username+”’ and password = ‘”+passwo

最低0.47元/天 解锁文章
辣是真滴牛啤
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
mybatis,#与$的区别
Top5软件工程硕士,先后在京东、字节从事多年Java后端开发、实时和离线大数据开发
10-29 678
别人老说?不编译#编译,一直稀里糊涂的,不如自己试一下,其实说白了就是#是否编译成?再用传入的参数代替。其实把这些原理用很通俗的语言说给一个新手听,反而说明自己也理解了,而不是一直跟新手说区别就是是否编译...... --正确 WeatherPO weatherPO = weatherDao.queryByAreaIdAndAreaName("101101001", "忻州"); <se...
myBatis——注解,#{}与${},resultMap的使用
luerdao_的博客
12-07 648
注解开发 注解开发不需要使用mapper.xml文件进行映射 直接绑定类 <mappers> <mapper class="com.luerdao.dao.UserMapper"></mapper> </mappers> @Select("select * from user") List<User> getAllUser(); @Select("select * from user where id =#{id}") User sele
带#的预编译语句
m0_58702068的博客
07-16 306
​ 目录 一,条件编译使用分析 二,#error和#line使用分析 三,#pragma使用分析 1,#pragmamessage 2,#pragmaonce 3,pragma pack 四,#和##操作符使用分析 1,#操作符 2,##操作符 一,条件编译使用分析 条件编译控制预编译器保留某些代码,删除某些代码。 条件编译的行为类似于C语言中if...else...语句。 条件编译语句:#if...#else...#endif ...
MybatisJDBC 编程的比较 及#{}与${}的区别
weixin_65449886的博客
01-25 1099
{}可以有效防止 sql 注入。通过${}可以将 parameterType 传入的内容拼接在 sql 中且不进行 jdbc 类型转换, ${}可以接收简。2.Sql 语句写在代码中造成代码不易维护,实际应用 sql 变化的可能较大,sql 变动需要改变 java 代码。3.向 sql 语句传参数麻烦,因为 sql 语句的 where 条件不一定,可能多也可能少,占位符需要和参数对应。单类型值或 pojo 属性值,如果 parameterType 传输单个简单类型值,${}括号中只能是 value。
JDBC】# JDBC的简单理解概述
LRcoding
05-18 2072
1. JDBC入门 1.1. 什么是JDBC JDBC全称为:Java Data Base Connectivity,它是可以执行SQL语句的Java API 1.2. JDBC简单操作 导入MySQL或者Oracle驱动包 加载驱动 获取与数据库连接的对象Connetcion 获取执行sql语句的statement对象 执行sql语句 关闭连接 Connection connection = null; Statement statement = null; ResultSet resultSet
MyBatis中的${}与#{}的区别以及jdbcType什么时候使用
sinat_36810495的博客
07-15 297
原文:https://blog.csdn.net/CocoaWang/article/details/84925219 一、MyBatis中${}与#{}的区别 区别1:最终执行的SQL不同 当传入的参数name='123'的时候: 1 select * from user where name = #{name} 最终执行的SQL为:select * from user where...
预编译
qq_39201210的博客
07-17 941
&lt;script&gt; Var a=123; //在全局范围定义的全局变量,为window所有 b = 234; //在全局范围,没有声明变量(没有var),也赋值给window,为全局 变量 function aaa(){ Var c = 456;//在局部声明的,为局部变量 d = 789;//在局部没有声明的变量,为全局变量,为window所有 Var e = f = 999; ...
Mybatis下动态sql中##和$$的区别讲解
08-26
首先,我们需要了解的是,Mybatis在对SQL语句进行预编译之前,会对SQL语句进行动态解析,解析为一个BoundSql对象。在动态SQL解析阶段,#{ }和${ }会有不同的表现。#{ }:解析为一个JDBC预编译语句(prepared ...
Mybatis中的 ${} 和 #{}区别与用法
YJB666的专栏
12-10 450
Mybatis中的 ${} 和 #{}区别与用法 Mybatis 的Mapper.xml语句中parameterType向SQL语句传参有两种方式:#{}和${} 注意:由于$是参数直接注入的,导致这种写法,大括号里面不能注明jdbcType,不然会报错 弊端:可能会引起sql的注入,平时尽量避免使用${...} 注意:因为#{...}解析成sql语句时候,会在变量外侧自动...
JDBC
Valentino112358的博客
05-24 490
1. 概念:Java DataBase Connectivity Java 数据库连接, Java语言操作数据库 * JDBC本质:其实是官方(sun公司)定义的一套操作所有关系型数据库的规则,即接口。各个数据库厂商去实现这套接口,提供数据库驱动jar包。我们可以使用这套接口(JDBC)编程,真正执行的代码是驱动jar包中的实现类。 2. 快速入门: * 步骤: ...
JDBC详解
smilematch
11-07 1377
1、JDBC是什么?JDBC(JAVA DataBase Connection)即JAVA数据库连接技术,JDBC API是一个Java API,可以访问任何类型表列数据,特别是存储在关系数据库中的数据。 JDBC库中所包含的API通常与数据库使用于:连接到数据库 创建SQL语句 在数据库中执行SQL查询 查看和修改数据库中的数据记录 2、数据库驱动与常用接口JDBC API使用数据库驱动连接操作数
mybatis预编译,#{}与${}的用法区别
henheihahei的博客
01-15 567
预编译就是将sql语句中的参数值用占位符替代,将整个sql语句处理为类似模板的样子,然后每次执行的时候就会将我们传递过来的参数直接替换占位符然后运行,省去了每次都要检查语法等步骤,加快了运行效率。
JDBC用法详解
ManonLiu
11-29 199
什么是JDBC JDBC(JavaDataBaseConnectivity)是Java和数据库之间的一个桥梁,是一个规范而不是一个实现,能够执行SQL语句。它由一组用Java语言编写的类和接口组成。各种不同类型的数据库都有相应的实现,本文中的代码都是针对MySQL数据库实现的。 JDBC编程步骤 1.装载相应数据库的JDBC驱动并进行初始化 导入专用的jar包(不同的数据库需要的jar包不同) 笔者在这里就不加以赘述了,有不会的同学可以参照 ...
什么是预编译
热门推荐
Yanpeen的博客
07-18 1万+
预编译就是处理以#开头的指令,比如赋值#include包含的文件、#define宏定义的替换、条件编译等。预编译就是为编译前做准备工作的阶段,主要处理以#开头的预编译指令。 预编译指令指示了程序在正式编译前,由编译器进行的操作,可以放在程序中的任何位置。 什么时候使用预编译? 1、总是使用不经常改动的大型代码体 2、程序包含了很多模块,所有模块都使用一组标准的包含文件和相同的编译选项,在这种情况下,可以将所有包含文件预编...
JDBC典型用法
lpf11214的博客
04-06 969
一、JDBC4.2常用接口和类简介 1.什么是JDBC? Java Database Connectivity ,即Java数据库连接技术,具体指的就是JDK中提供的一组数据库编程接口 2.JDBC接口 JDK提供了一组Java连接数据库编程接口, 位于java.sql包中 接口名 作用 Connection 数据库连接 Statement SQL语句执行 Prepa
Spring中配置jdbc使用$出现的一些问题
weixin_44193824的博客
08-09 509
问题1,之配置数据源: Could not get JDBC Connection; nested exception is org.apache.commons.dbcp.SQLNestedException: Cannot create PoolableConnectionFactory (Access denied for user ‘Admin’@‘localhost’ (using pa...
mysql预编译原理_Mybatis之开启MySQL的预编译功能
weixin_29862397的博客
02-19 853
最重要的参数,如下List-1:List-1useServerPrepStmts=true&&cachePrepStmts=true首先来看不加List-1参数的情况,如下List-2:List-2url=jdbc:mysql://127.0.0.1:3306/mjduan?useUnicode=true&characterEncoding=utf-8&useSSL...
mybatis中的两种传参方式#{}和¥{}原理
laughitover
08-28 5468
之前没注意,最近公司测试提了个bug, 问题:输入框中输入单引号会报错, 原因:单引号截断了sql 总结:#{}速度快,能防止sql注入,是占位符方式,先预编译,然后填充参数,字符串格式,相当于填空题 用户名=(___),参数只是下划线上的内容           ${}是直接拼接到语句上,执行语句,对于上面那道填空题 ,这种方式需要自己拼括号和参数,但是也可以拼接想执行的任何语句,也就是
mybatis中#和$的区别
最新发布
06-07
MyBatis中,#和$都是用于替换SQL语句中的占位符的符号,但它们的处理方式不同。 #号表示占位符,通过预编译的方式将传入的参数值进行安全的替换,防止SQL注入攻击,同时将参数值转换为对应的JDBC类型。例如: ``` SELECT * FROM user WHERE id = #{userId} ``` 在执行SQL时,#{userId}会被替换为一个?号占位符,同时userId参数的值会被预编译并设置为PreparedStatement的参数值。 $号则表示直接替换,将SQL语句中的占位符替换为传入的参数值,并不进行预编译JDBC类型转换。例如: ``` SELECT * FROM user WHERE id = ${userId} ``` 在执行SQL时,${userId}会被替换为实际的参数值,不会进行预编译JDBC类型转换,如果参数值存在SQL注入攻击的风险,就会导致SQL注入攻击。 因此,一般情况下我们建议使用#号进行参数替换,以保证SQL语句的安全性。但如果需要动态拼接SQL语句,或者需要使用一些特殊的SQL语法,可以使用$号进行参数替换。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值