从Mybatis中#和$的区别到SQL预编译

#和$的区别

Mybatis中参数传递可以通过#和$设置。它们的区别是什么呢?

#

Mybatis在解析SQL语句时,sql语句中的参数会被预编译为占位符问号?

$

Mybatis在解析SQL语句时,SQL语句中的参数会被当做字符串拼接SQL。

使用#能够防止SQL注入攻击。

那么什么是预编译?

什么是预编译

通常,一条sql在db接收到最终执行完毕返回需要经历三个阶段:

  1. 词法和语义解析
  2. 优化sql语句,制定执行计划
  3. 执行并返回结果

但是如果同样一条SQL,如果只是参数值变了,不需要每次都语法语义解析、优化、制定执行计划,

所以可以将这类SQL语句中的值用占位符替代,不需要每次编译,可以直接执行

执行的时候,直接将每次请求的不同的值设置到占位符的位置。

可以视为将sql语句模板化或者说参数化。

如果觉得不好理解,可以看看MySQL的预编译功能

预编译的优势

预编译可以缓存SQL,重复利用,

可以优化SQL的执行

预编译的缺点(什么场景不适合)

传入表名等数据库对象时,无法使用#,因为使用#占位符,会将表名加上引号,无法执行。

其他场景,能使用#占位符就尽量使用

参考:

预编译语句(Prepared Statements)介绍,以MySQL为例

# 与 $ 区别以及 sql 预编译

原文地址:https://www.cnblogs.com/wozixiaoyao/p/11580823.html

时间: 2024-10-06 07:24:57

从Mybatis中#和$的区别到SQL预编译的相关文章

mybatis深入理解之 # 与 $ 区别以及 sql 预编译

mybatis 中使用 sqlMap 进行 sql 查询时,经常需要动态传递参数,例如我们需要根据用户的姓名来筛选用户时,sql 如下: select * from user where name = "ruhua"; 上述 sql 中,我们希望 name 后的参数 "ruhua" 是动态可变的,即不同的时刻根据不同的姓名来查询用户.在 sqlMap 的 xml 文件中使用如下的 sql 可以实现动态传递参数 name: select * from user whe

mybatis深入理解(一)之 # 与 $ 区别以及 sql 预编译

mybatis 中使用 sqlMap 进行 sql 查询时,经常需要动态传递参数,例如我们需要根据用户的姓名来筛选用户时,sql 如下: select * from user where name = "ruhua"; 上述 sql 中,我们希望 name 后的参数 "ruhua" 是动态可变的,即不同的时刻根据不同的姓名来查询用户.在 sqlMap 的 xml 文件中使用如下的 sql 可以实现动态传递参数 name: select * from user whe

mybatis中"#"和"$"的区别

mybatis中"#"和"$"的区别 动态 sql 是 mybatis 的主要特性之一,在 mapper 中定义的参数传到 xml 中之后,在查询之前 mybatis 会对其进行动态解析.mybatis 为我们提供了两种支持动态 sql 的语法:#{} 以及 ${}. 在下面的语句中,如果 username 的值为 zhangsan,则两种方式无任何区别: select * from user where name = #{name}; select * from

MyBatis中#{ }和${ }的区别(笔面试题)

p.p1 { margin: 0.0px 0.0px 0.0px 0.0px; font: 19.0px "PingFang SC" } p.p2 { margin: 0.0px 0.0px 0.0px 0.0px; font: 19.0px "PingFang SC"; min-height: 26.0px } span.s1 { font: 19.0px Helvetica } MyBatis中#{ }和${ }的区别详解 1.#将传入的数据当成一个字符串,会对

mybatis中#{}和${}的区别 (二)

mybatis中#{}和${}的区别 1.PreparedStatement是预编译的,对于批量处理可以大大提高效率. 也叫JDBC存储过程 2.使用 Statement 对象.在对数据库只执行一次性存取的时侯,用 Statement 对象进行处理.PreparedStatement 对象的开销比Statement大,对于一次性操作并不会带来额外的好处. 3.statement每次执行sql语句,相关数据库都要执行sql语句的编译,preparedstatement是预编译得, prepared

【#和$】MyBatis中#和$的区别

一.结论 #{}:占位符号,好处防止sql注入 ${}:sql拼接符号 二.具体分析 动态 SQL 是 mybatis 的强大特性之一,也是它优于其他 ORM 框架的一个重要原因.mybatis 在对 sql 语句进行预编译之前,会对 sql 进行动态解析,解析为一个 BoundSql 对象,也是在此处对动态 SQL 进行处理的.在动态 SQL 解析阶段, #{ } 和 ${ } 会有不同的表现. #{ }:解析为一个 JDBC 预编译语句(prepared statement)的参数标记符.例

在mybatis中#和$的区别

昨天有写一篇关于分页和排序的文章,在文章中遗留了一个问题没有被解决. 今天我又重新的看了下源码做了测试!发现昨天的问题的大概解决方法! <if test="page.sort != null "> <foreach collection="page.sort" index="index" item="order"> ORDER BY ${order.property} ${order.direction

SQL预编译防注入小测试

个人对SQL预编译的认识: 1.效率提升,对SQL语句编译一次可多次使用.避免了硬解析和软解析等步骤,当执行的语句上规模的时候性能差异还是很明显的. 2.安全提升,预编译之后的SQL语句,语义不会发生变化,安全性有相当大的提升. using System; using System.Collections.Generic; using System.Linq; using System.Text; using System.Data.SqlClient; using System.Data; n

mybatis中#{}和${}的区别及order by的sql注入问题

mybatis的#{}和${}的区别以及order by注入问题 原文  http://www.cnblogs.com/chyu/p/4389701.html 前言略,直奔主题.. #{}相当于jdbc中的preparedstatement ${}是输出变量的值 简单的说就是#{}传过来的参数带单引号'',而${}传过来的参数不带单引号. 你可能说不明所以,不要紧我们看2段代码: String sql = "select * from admin_domain_location order by