MyBatis 预编译 SQL

于 2024-07-23 21:16:57 发布
阅读量1k 收藏 10
点赞数 26
分类专栏: web 文章标签: mybatis sql 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xycxycooo/article/details/140646488
版权

MyBatis 预编译 SQL

目录

1. 概述

MyBatis 是一个优秀的持久层框架,它支持定制化 SQL、存储过程以及高级映射。预编译 SQL 是 MyBatis 的一个重要特性,它可以提高 SQL 执行的效率,并且可以防止 SQL 注入攻击。

预编译 SQL 的主要思想是将 SQL 语句和参数分开处理。MyBatis 会将 SQL 语句预编译成一个 PreparedStatement 对象,然后将参数绑定到这个对象上。这样可以避免每次执行 SQL 时都进行编译,从而提高执行效率。

2. 预编译 SQL 的优势
  • 性能提升:预编译 SQL 可以避免每次执行 SQL 时都进行编译,从而提高执行效率。
  • 防止 SQL 注入:预编译 SQL 可以将参数绑定到 PreparedStatement 对象上,从而防止 SQL 注入攻击。
3. 预编译 SQL 的使用

在 MyBatis 中,预编译 SQL 的使用非常简单。我们可以在 Mapper 接口中使用注解或者在 XML 配置文件中定义 SQL 语句。

3.1 使用注解

在 Mapper 接口中使用 @Select, @Insert, @Update, @Delete 等注解来定义 SQL 语句。

import org.apache.ibatis.annotations.*;

@Mapper
public interface UserMapper {

    @Insert("INSERT INTO user(name, email) VALUES(#{name}, #{email})")
    void insertUser(User user);

    @Select("SELECT * FROM user WHERE id = #{id}")
    User findUserById(Integer id);

    @Update("UPDATE user SET name = #{name}, email = #{email} WHERE id = #{id}")
    void updateUser(User user);

    @Delete("DELETE FROM user WHERE id = #{id}")
    void deleteUser(Integer id);
}
3.2 使用 XML 配置文件

在 XML 配置文件中定义 SQL 语句。

<?xml version="1.0" encoding="UTF-8" ?>
<!DOCTYPE mapper
  PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN"
  "http://mybatis.org/dtd/mybatis-3-mapper.dtd">

<mapper namespace="com.example.demo.mapper.UserMapper">

    <insert id="insertUser">
        INSERT INTO user(name, email) VALUES(#{name}, #{email})
    </insert>

    <select id="findUserById" resultType="com.example.demo.entity.User">
        SELECT * FROM user WHERE id = #{id}
    </select>

    <update id="updateUser">
        UPDATE user SET name = #{name}, email = #{email} WHERE id = #{id}
    </update>

    <delete id="deleteUser">
        DELETE FROM user WHERE id = #{id}
    </delete>
</mapper>
4. 预编译 SQL 的参数绑定

在预编译 SQL 中,参数绑定使用 #{} 语法。MyBatis 会将 #{} 中的内容解析为参数,并将其绑定到 PreparedStatement 对象上。

@Insert("INSERT INTO user(name, email) VALUES(#{name}, #{email})")
void insertUser(User user);

在上述示例中,#{name}#{email} 会被解析为 User 对象的 nameemail 属性,并绑定到 PreparedStatement 对象上。

5. 防止 SQL 注入

预编译 SQL 可以有效防止 SQL 注入攻击。因为参数是绑定到 PreparedStatement 对象上的,而不是直接拼接到 SQL 语句中。

例如,以下 SQL 语句是安全的:

@Select("SELECT * FROM user WHERE id = #{id}")
User findUserById(Integer id);

即使 id 参数包含恶意代码,也不会影响 SQL 语句的执行。因为 id 参数会被绑定到 PreparedStatement 对象上,而不是直接拼接到 SQL 语句中。

6. 总结

预编译 SQL 是 MyBatis 的一个重要特性,它可以提高 SQL 执行的效率,并且可以防止 SQL 注入攻击。在 MyBatis 中,我们可以使用注解或者 XML 配置文件来定义预编译 SQL 语句,并使用 #{} 语法来绑定参数。通过这种方式,我们可以编写高效、安全的 SQL 语句。

需要重新演唱
关注
  • 26
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Mybatis动态SQL 多参数输入 非预编译传入参数
ex_xyz的博客
03-09 720
Mybatis动态SQL statementType="STATEMENT" 多参数输入 实现选择相同结构,但是名字不同的表,进行数据库操作的功能。
mybatismybatis-plus Sql注入
黎子爱发呆博客
03-22 1390
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 mybatismybatis-plus ql注入前言一、SQL注入是什么?二、mybatis是如何做到防止sql注入的1. #{} 和 ${} 两者的区别2.什么是预编译三、mybatis-plus是如何做到防止sql注入的 前言 随着mybatismybatis-plus不断发展,目前已经成为市场流行的持久层框架,但是使用的过程中,使用不当的情况下还是可能会出现sql注入的风险,那么就简单的分析它们是如何来避免sql注入 一、S.
Mybatis预编译/即时sql 数据库连接池
weixin_63210321的博客
11-26 1138
而使用数据库连接池,程序启动时,会再数据库连接池中创建一定数量的Connection对象,当客户请求数据库连接,会从数据库连接池中获取Connection对象,然后执行sql,执行完毕之后再把Connection归还给连接池.如果不适用数据库连接池,每次执行sql语句,都要先创建一个连接,然后再执行sql语句,执行完还要关掉连接对象释放资源,这种重复的创建连接,销毁连接会比较消耗资源.对于#和$,他们有不同的使用场景.有的情况下,使用#是正确的,而有的情况下,使用#却会报错.
mybatis深入理解(一)之 # 与 $ 区别以及 sql 预编译
weixin_34038293的博客
03-16 230
mybatis 中使用 sqlMap 进行 sql 查询时,经常需要动态传递参数,例如我们需要根据用户的姓名来筛选用户时,sql 如下: select * from user where name = "ruhua"; 上述 sql 中,我们希望 name 后的参数 "ruhua" 是动态可变的,即不同的时刻根据不同的姓名来查询用户。在 ...
mybatis 预编译
ListerGray的博客
04-28 2672
MyBatis预编译 <select id="getUserById" resultMap="UserMap" parameterType="java.util.String"> select id,username,password,age,sex from t_user_info where id...
预编译如何避免SQL注入 Mybatis SQL预编译 注入
小獣专栏
01-12 833
Mybatis预编译是借助PreparedStatement #{}这种会自动处理成字段值(加双引号进行转义) ${}这种则不会预编译,直接当成字符串拼成SQL,会被注入 预编译功能依赖具体DB实现,有些没有实现这个功能 预编译的目的: 1. 提高性能 2. 避免注入 如何提高性能? 在使用PreparedStatement执行SQL命令时,命令会带着占位符被数据库进行编译和解析,并放到命令缓冲区 每当执行同一个PreparedStatement语句的时候,由于在缓冲区中可以...
mybatis模糊查询sql预编译和字符串连接两种方式,mysql插入获取自动增长的id
可爱的程序yuan
12-04 640
预编译sql,采用MySQL的CONCAT()函数   CONCAT()函数 MySQL的 CONCAT()函数用于将多个字符串连接成一个字符串,是最重要的mysql函数之一。  字符串拼接方式:    mysql插入获取自动增长的id:   &lt;!-- 方式1 --&gt;   &lt;insert id="addDept" parameterType="com.ba...
mybatis预编译,#{}与${}的用法区别
henheihahei的博客
01-15 566
预编译就是将sql语句中的参数值用占位符替代,将整个sql语句处理为类似模板的样子,然后每次执行的时候就会将我们传递过来的参数直接替换占位符然后运行,省去了每次都要检查语法等步骤,加快了运行效率。
MyBatis 1】SQL注入,springboot基础教程
m0_61043429的博客
12-19 1022
数据类型检查,sql执行前,要进行数据类型检查,如果是邮箱,参数就必须是邮箱的格式,如果是日期,就必须是日期格式; 只要是有固定格式的变量,在SQL语句执行前,应该严格按照固定格式去检查,确保变量是我们预想的格式,这样很大程度上可以避免SQL注入攻击。 如果上述例子中id是int型的,效果会怎样呢?无法注入,因为输入注入参数会失败。比如上述中的name字段,我们应该在用户注册的时候,就确定一个用户名规则,比如5-20个字符,只能由大小写字母、数字以及汉字组成,不包含特殊字符。此时我们应该有一个函数来完成统一
Mybatis预编译
最新发布
05-08
Mybatis预编译是指在执行数据库操作之前,先将SQL语句编译成预编译语句,然后再执行该语句。预编译语句可以重复使用,从而提高了SQL语句的执行效率。 在Mybatis中,预编译可以通过使用参数化的SQL语句来实现。在...
MyBatis面试题,'#{}与${}的区别'以及'sql预编译'
临渊
01-03 1906
MyBatis本身是基于JDBC封装的. 动态sql,是其的强大特性之一. 且mybatis在默认情况下,是会对所有的sql进行预编译的. 1. 什么是#{},什么是${}? 2. #{}和${}适合什么样的应用场景呢? 3. sql预编译没有缺点?
Mybatis源码分析】Mybatis 是如何实现预编译的?
qq_63691275的博客
08-25 861
Mybatis 实现预编译主要是在执行 sql 前,会调用一个 prepareStatement 方法进行预处理,会传一个 StatementHandler 对象进去,本质是一个 RoutingStatementHandler,但其构造方法其实就是一个路由的作用,内部封装了一个委托者才是真正的执行者。 其委托者实现了 instantiateStatement (实例化 Statement) 方法。该方法就是 Mybatis 实现预编译的关键。prepareStatement方法会调用 BaseStatem
Mybatis - 预编译的运用和原理
Zong_0915的博客
09-29 5628
首先我们来说下预编译的一个背景:我们知道一条SQL语句到达Mysql之后,Mysql并不是会马上执行它,而是需要经过几个阶段性的动作(细节的可以查看Mysql复习计划(一)- 字符集、文件系统和SQL执行流程缓存的检查。解析器解析。优化器解析。执行器执行。那么这几个阶段肯定是需要一定的时间的。而有时候我们一条SQL语句可能需要反复的执行,只不过里面的参数可能不一样,比如where子句中的条件。如果每次都需要经过上面的几个步骤,那么效率就会下降。因此为了解决这种问题,就出现了预编译
mybatis动态SQL
fendouderen的博客
08-21 629
mybatis动态SQL
MybatisPlus自定义拦截器修改sql
ChuanDD的博客
01-18 4337
mybatis plus自定义拦截器修改sql,直接拼接sql方式,预编译方式。springboot 使用mybatis plus拦截器,自定义拦截器。mybatis plus InnerInterceptor拦截器
mybatis--使用预编译sql新增修改查询用户数据
wan_wWw的博客
10-03 204
在数据添加成功后,需要获取插入数据库数据的主键。如:添加套餐数据时,还需要维护套餐菜品关系表数据。在接口中定义新增的方法并用insert()写入sql语句。原因:类中属性名与表中的属性名不一致所以导致没有封装进来。在test启动类中构造该对象并插入数据并输出到控制台。在mapper接口中定义方法并添加更新方法。2 在test类中调用接口方法并插入数据。2 在接口中声明添加注解@Option。输出结果 查询id为20的用户数据。在mapper接口中添加注解。在方法中传入emp对象。查看控制台中封装的数据。
mybatis-plus项目中自带要编写sql语句,@select注解的使用
qq_49249150的博客
10-28 1万+
现在mybatis-plus中已经封装了绝大部分简单sql,只用一部分负责sql需要自行编写,所以用@select的方式可以减少开发量,减少项目的复杂性。@select是mybatis-plus中能够为了方便开发人员自行编写sql的一个注解代码如下(示例): 这里需要注意第一种写法是正常写了mapper.xml情况下的, 第二种写法就是使用@select注解以后的,只需要将sql语句写进select注解内,注意参数名与方法内的参数名称要一致,需要在每个参数后面加@param来标注@select这个注解对于
MyBatis预编译机制详解
热门推荐
weixin_34452850的博客
04-03 2万+
MyBatis预编译机制详解 一. "#{}“和”${}"的区别 "#{}"是将传入的值按照字符串的形式进行处理,如下面这条语句: select user_id,user_name from t_user where user_id = #{user_id} MyBaits会首先对其进行预编译,将#{user_ids}替换成?占位符,然后在执行时替换成实际传入的user_id值,**并在两边...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

需要重新演唱

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值