Mybatis是如何做到sql预编译的呢?其实在框架底层,是JDBC中的PreparedStatemen类在起作用,PreparedStatement是我们很熟悉的Statement的子类,它的对象包含了编译好的sql语句。这种“准备好”的方式不仅能提高安全性,而且在多次执行同一个sql时,能够提高效率。原因是sql已编译好,再次执行时无需再编译。
#{}:相当于jdbc中的PreparedStatement(经过预编译的,安全的)
①:#将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号(“”);
②:#能够很大程度防止sql注入
${}:是输出变量的值(未经过编译的,仅仅是取变量的值,是非安全的,存在SQL注入)
①:$将传入的数据直接显示在生成sql中。
②:$无法防止SQL注入
③:$一般传入数据库对象,例如传入表名。
如以下两条sql语句:
#{}格式传入入参
select * from user where userid="1" or userid="2" and password="11111";
${}格式传入入参
select * from user where userid=1 or userid=2 and password=1111;
以${}传入入参后的执行sql打乱了我们的预期sql格式及查询条件,从而实现SQL注入。所以,除了order by 等需要传入数据库字段等入参使用${},其他的尽量使用#{}。