mybatis----#与$区别
#與$區(qū)別
1.區(qū)別
#{}:占位符號(hào),構(gòu)造預(yù)編譯sql語(yǔ)句,好處防止sql注入
${}:sql拼接符號(hào),直接從參數(shù)中取值,構(gòu)造靜態(tài)sql語(yǔ)句
2.具體分析
動(dòng)態(tài) SQL 是 mybatis 的強(qiáng)大特性之一,也是它優(yōu)于其他 ORM 框架的一個(gè)重要原因。mybatis 在對(duì) sql 語(yǔ)句進(jìn)行預(yù)編譯之前,會(huì)對(duì) sql 進(jìn)行動(dòng)態(tài)解析,解析為一個(gè) BoundSql 對(duì)象,也是在此處對(duì)動(dòng)態(tài) SQL 進(jìn)行處理的。在動(dòng)態(tài) SQL 解析階段, #{ } 和 ${ } 會(huì)有不同的表現(xiàn)。
#{ }:解析為一個(gè) JDBC 預(yù)編譯語(yǔ)句(prepared statement)的參數(shù)標(biāo)記符。
例如,Mapper.xml中如下的 sql 語(yǔ)句:
select * from user where name = #{name};?
動(dòng)態(tài)解析為:
select * from user where name = ?;?
一個(gè) #{ } 被解析為一個(gè)參數(shù)占位符 ? 。
而${ }僅僅為一個(gè)純碎的 string 替換,在動(dòng)態(tài) SQL 解析階段將會(huì)進(jìn)行變量替換。
例如,Mapper.xml中如下的 sql:
select * from user where name = ${name};?
當(dāng)我們傳遞的參數(shù)為 "Jack" 時(shí),上述 sql 的解析為:
select * from user where name = "Jack";?
預(yù)編譯之前的 SQL 語(yǔ)句已經(jīng)不包含變量了,完全已經(jīng)是常量數(shù)據(jù)了。 綜上所得, ${ } 變量的替換階段是在動(dòng)態(tài) SQL 解析階段,而 #{ }變量的替換是在 DBMS 中。
3.用法
??? ?能使用 #{ } 的地方就用 #{ }
首先這是為了性能考慮的,相同的預(yù)編譯 sql 可以重復(fù)利用。其次,${ } 在預(yù)編譯之前已經(jīng)被變量替換了,這會(huì)存在 sql 注入問(wèn)題。例如,如下的 sql:
select * from ${tableName} where name = #{name}?
假如,我們的參數(shù) tableName 為 user; delete user; --,那么 SQL 動(dòng)態(tài)解析階段之后,預(yù)編譯之前的 sql 將變?yōu)?#xff1a;
select * from user; delete user; -- where name = ?;?
-- 之后的語(yǔ)句將作為注釋,不起作用,因此本來(lái)的一條查詢語(yǔ)句偷偷的包含了一個(gè)刪除表數(shù)據(jù)的 SQL。
??? ?表名作為變量時(shí),必須使用 ${ }
這是因?yàn)?#xff0c;表名是字符串,使用 sql 占位符替換字符串時(shí)會(huì)帶上單引號(hào) '',這會(huì)導(dǎo)致 sql 語(yǔ)法錯(cuò)誤,例如:
select * from #{tableName} where name = #{name};
?預(yù)編譯之后的sql 變?yōu)?#xff1a;
select * from ? where name = ?;?
假設(shè)我們傳入的參數(shù)為 tableName = "user" , name = "Jack",那么在占位符進(jìn)行變量替換后,sql 語(yǔ)句變?yōu)?#xff1a;
select * from 'user' where name='Jack';?
上述 sql 語(yǔ)句是存在語(yǔ)法錯(cuò)誤的,表名不能加單引號(hào) ''(注意,反引號(hào) ``是可以的)。
4.sql預(yù)編譯
?1. 定義:
sql 預(yù)編譯指的是數(shù)據(jù)庫(kù)驅(qū)動(dòng)在發(fā)送 sql 語(yǔ)句和參數(shù)給 DBMS 之前對(duì) sql 語(yǔ)句進(jìn)行編譯,這樣 DBMS 執(zhí)行 sql 時(shí),就不需要重新編譯。
?2. 為什么需要預(yù)編譯
JDBC 中使用對(duì)象 PreparedStatement 來(lái)抽象預(yù)編譯語(yǔ)句,使用預(yù)編譯。預(yù)編譯階段可以優(yōu)化 sql 的執(zhí)行。預(yù)編譯之后的 sql 多數(shù)情況下可以直接執(zhí)行,DBMS 不需要再次編譯,越復(fù)雜的sql,編譯的復(fù)雜度將越大,預(yù)編譯階段可以合并多次操作為一個(gè)操作。預(yù)編譯語(yǔ)句對(duì)象可以重復(fù)利用。把一個(gè) sql 預(yù)編譯后產(chǎn)生的 PreparedStatement 對(duì)象緩存下來(lái),下次對(duì)于同一個(gè)sql,可以直接使用這個(gè)緩存的 PreparedState 對(duì)象。mybatis 默認(rèn)情況下,將對(duì)所有的 sql 進(jìn)行預(yù)編譯
總結(jié)
以上是生活随笔為你收集整理的mybatis----#与$区别的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問(wèn)題。
- 上一篇: mybatis实现一对多关系《DeptE
- 下一篇: 在${}中为甚么采用@Param及多参数