mybatis #和$
来源:互联网 发布:ccd对位平台算法 编辑:程序博客网 时间:2024/04/28 04:33
PrepareStatement:预编译支持参数化以及占位符,防止sql注入
Statement:有sql注入风险
正文
#{} 的参数替换是发生在 DBMS 中,而 ${} 则发生在动态解析过程中。
例如:select * from order where id=#{orderId}和select * from order where id='${orderId}'.
#:静态解析-- select * from order where id=?.已占位符的形式。在预处理时,会把参数部分用一个占位符 。
$:动态解析的, select * from order where id=123456. 后果:比如参数 orderId='123456' or '1=1'.就可以把所有的订单数据都拿出来。
区别:
#方式能够很大程度防止sql注入。
$方式无法防止Sql注入。
$方式一般用于传入数据库对象,例如传入表名、字段名(order by xxx)
一般能用#的就别用$.
为什么需要预编译
JDBC 中使用对象 PreparedStatement 来抽象预编译语句,使用预编译
预编译阶段可以优化 sql 的执行。
预编译之后的 sql 多数情况下可以直接执行,DBMS 不需要再次编译,越复杂的sql,编译的复杂度将越大,预编译阶段可以合并多次操作为一个操作。预编译语句对象可以重复利用。
把一个 sql 预编译后产生的 PreparedStatement 对象缓存下来,下次对于同一个sql,可以直接使用这个缓存的 PreparedState 对象。
mybatis 默认情况下,将对所有的 sql 进行预编译。
- Mybatis #和$
- mybatis----#{}和${}
- mybatis #和$
- mybatis的#和$
- Mybatis 中#和$区别
- mybatis类和xml
- mybatis和iBATIS差异
- myBatis中$和#区别
- mybatis和ibatis区别
- mybatis和hibernate对比
- Mybatis和Spring整合
- Hibernate和MyBatis区别
- hibernate和mybatis
- MyBatis流程和框架
- mybatis 高速缓存和二级缓存
- Mybatis和Hibernate区别
- mybatis和spring集成
- mybatis和spring整合
- ES——类(Class)
- 天府新区“骨干线” 成都轨道交通11号线首台盾构始发
- Android样式的开发:drawable汇总篇
- finally代码执行的情况
- Entity Framework 数据生成选项DatabaseGenerated
- mybatis #和$
- java将十进制数转换为任意进制数
- Linux Agent安装说明;cloudmonitor;阿里云监控
- 查看maven依赖的详细信息
- OkHttp拦截请求与相应,以及控制台打印日志(Interceptor拦截器)
- mysql查询一周,一月数据的格式处理
- iOS视频裁剪、拼接、添加水印、添加背景音乐
- Java面试题
- 拟合与回归