1、为什么要用Mybatis?不用原生的JDBC
我们在用原生的JDBC 编写执行sql的代码,一般无外乎这几步:
- 加载驱动
- 建立连接
- 预编译sql
- 设置参数
- 执行sql
- 获取结果
- 资源释放
这中间就会暴露一些问题
1. sql 硬编码
2. 链接频繁的打开和释放
3. 获取结果属性值时硬编码
而针对以上的问题,Mybatis能有效的解决: sql语句统一配置文件,连接池管理链接,result属性与bean的映射 配置;
所以呢,如果有一个新的数据库框架能解决上面的问题,并且做得比mybatis更好,那就肯定不用mybatis了,用一个东西肯定是有理由的,无论是历史原因还是技术原因,都是值得我们去探讨的
2、为什么推荐用 #{} 而不是 ${} ,他有什么好处?
效率和sql注入
#{} 会执行预编译的过程,将要执行的sql 生成一个sql模板放到缓存中,下次执行sql时,会查询缓存,这样可以减少sql编译时间,提高效率;由于是预编译,所以防止sql注入
3、为什么预编译会防止sql注入
预编译会将#{} 当做占位标记,生成的sql 里用 ? 代替。执行sql时,传进来的参数只会当做运算值的一部分 替换 ?,而不会当做sql操作指令的一部分。
例如有sql:
select * from user where name=#{name};
预编译后:
select * from user where name = ?;
真正执行
select * from user where name =" \'or 1=1 "
而不是
select * from user where name =' ' or 1=1
参考
https://www.zhihu.com/question/52869762
http://blog.csdn.net/yushuifirst/article/details/45201623
http://blog.csdn.net/yan465942872/article/details/6753957