淺談Mybatis #和$區(qū)別以及原理
總結(jié):
1.#可以防止Sql 注入,它會將所有傳入的參數(shù)作為一個(gè)字符串來處理。2.$ 則將傳入的參數(shù)拼接到Sql上去執(zhí)行,一般用于表名和字段名參數(shù),$ 所對應(yīng)的參數(shù)應(yīng)該由服務(wù)器端提供,前端可以用參數(shù)進(jìn)行選擇,避免 Sql 注入的風(fēng)險(xiǎn)
為什么?
為什么# 和 $ 的作用不同,Mybatis 對他們做了哪些慘無人道的處理,我們看一下下面的例子,并追蹤一下源碼總結(jié)。
示例代碼:
創(chuàng)建一個(gè) tb_class 表(具體字段不做解釋)。
創(chuàng)建一個(gè) ClassDao.java 并使用注解的方式 ,tableName 代表查詢的表,id代表主鍵 :
public interface ClassDao { /** * 測試 # 和 $ 符號區(qū)別 * @param tableName 表名 * @param id 主鍵 * @return */ @Select('select * from ${tableName} where class_id = #{id}') ClassInfo selectEntityByTableNameAndId(@Param('tableName') String tableName, @Param('id') Integer id);}
創(chuàng)建一個(gè)Test 方法:
@Test public void testMybatis() throws IOException { ClassInfo classInfo = classDao.selectEntityByTableNameAndId('tb_class', 1); System.err.println('classInfo : ' + JSONObject.toJSONString(classInfo)); }
源碼分析:
看過代碼的小伙伴應(yīng)該知道, Mybatis 執(zhí)行 入口是 DefaultSqlSession.selectOne()方法。我們Debug 啟動 testMybatis()方法,并在 DefaultSqlSession.selectOne()添加斷點(diǎn),一行行執(zhí)行Mybatis 代碼:
一步步向下走,當(dāng)走到代碼: org.apache.ibatis.executor.statement.PreparedStatementHandler#query方法時(shí),可以看到 PreparedStatement 相信大家對這個(gè)應(yīng)該不會陌生,預(yù)編譯Sql并通過占位符的方式放置參數(shù),現(xiàn)在 我們對比一下我們在 Dao 中的 sql : select * from ${tableName} where class_id = #{id}
如圖所示,我們會發(fā)現(xiàn), Mybatis 已經(jīng)將 sql中 ${tableName} 替換成了 tb_class ,#{id} 也已經(jīng)變成了 占位符 ?,生成了 Sql : select * from tb_class where class_id = ?。這已經(jīng)是一目了然了,Mybaitis 封裝了JDBC ,執(zhí)行時(shí)會將我們注解 或 Mapper 中的 Sql 和參數(shù)進(jìn)行處理,并交給 PreparedStatement 來執(zhí)行。
至于Mybatis怎么修改的Sql 大家可以Debug追蹤 org.apache.ibatis.mapping.BoundSql 中參數(shù) sql 來理解。
到此這篇關(guān)于淺談Mybatis #和$區(qū)別以及原理的文章就介紹到這了,更多相關(guān)Mybatis #和$區(qū)別內(nèi)容請搜索好吧啦網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持好吧啦網(wǎng)!
相關(guān)文章:
1. Oracle數(shù)據(jù)庫中SQL語句性能調(diào)整原則2. navicat導(dǎo)入oracle導(dǎo)出的dmp文件3. sqlserver數(shù)據(jù)庫導(dǎo)入方法的詳細(xì)圖文教程4. SQL Server和Oracle并行處理方法對比5. mysql-bin.000001文件的來源及處理方法6. Mysql入門系列:安排預(yù)防性的維護(hù)MYSQL數(shù)據(jù)庫服務(wù)器7. Oracle數(shù)據(jù)庫中的表外鍵的更名細(xì)則8. 通過Oracle的緩沖區(qū)內(nèi)部機(jī)制調(diào)整性能9. Oracle建表與創(chuàng)建序列詳細(xì)實(shí)例10. Oracle數(shù)據(jù)庫中大型表查詢優(yōu)化研究
