1为什么需要预编译?
定义:
SQL 预编译指的是数据库驱动在发送 SQL 语句和参数给 DBMS 之前对 SQL 语句进行编译,这样 DBMS 执行 SQL 时,就不需要重新编译。
为什么需要预编译
JDBC 中使用对象 PreparedStatement 来抽象预编译语句,使用预编译。预编译阶段可以优化 SQL 的执行。预编译之后的 SQL 多数情况下可以直接执行,DBMS 不需要再次编译,越复杂的SQL,编译的复杂度将越大,预编译阶段可以合并多次操作为一个操作。同时预编译语句对象可以重复利用。把一个 SQL 预编译后产生的 PreparedStatement 对象缓存下来,下次对于同一个SQL,可以直接使用这个缓存的 PreparedState 对象。Mybatis默认情况下,将对所有的 SQL 进行预编译。
2#{}和${}的区别
1 #{}是占位符,预编译处理;${}是拼接符,字符串替换,没有预编译处理。
2 Mybatis在处理#{}时,#{}传入参数是以字符串传入,会将SQL中的#{}替换为?号,调用PreparedStatement的set方法来赋值。
3 Mybatis在处理时 , 是 原 值 传 入 ,就是把{}替换成变量的值,相当于JDBC中的Statement编译
4 变量替换后,#{} 对应的变量自动加上单引号 ‘’;变量替换后**,${} 对应的变量不会加上单引号 ‘’**
5 #{} 可以有效的防止SQL注入,提高系统安全性;${} 不能防止SQL 注入
6 #{} 的变量替换是在DBMS 中;${} 的变量替换是在 DBMS 外
3SQL注入的问题
SQL注入的发生,通常是恶意用户通过在表单中填写包含SQL关键字的数据,来使数据库执行非常规逻辑的过程。简单来说,就是数据库越界做了超出代码控制范围的事情。这个问题的来源是,SQL数据库的操作是通过SQL语句来执行的,而无论是执行代码还是数据项都必须写在SQL语句之中,这就导致如果我们在数据项中加入了某些SQL语句关键字(比如说SELECT、DROP等等),这些关键字就很可能在数据库写入或读取数据时得到执行。
假设有一个用户表users,往用户表中插入一条数据的语句是:
insert into users(name) values('yanggb');
其中的name字段来源于表单页面中的input,这时有一个不怀好意的用户填写的name字段为【'yanggb');drop table users;--】,那么这时候上面的语句就变成:
insert into users(‘yanggb’);drop table users;–) values(‘yanggb’);
4模糊查询like语句该怎么写
CONCAT(’%’,#{question},’%’) 使用CONCAT()函数,推荐