${}的本质是字符串拼接,#{}的本质是占位符赋值
${} 使用字符串拼接的方式拼接sql,若为字符串类型或日期类型的字段进行赋值时,需要手动加单引号;
#{} 使用占位符赋值的方式拼接sql,此时为字符串类型或日期类型的字段赋值时,可以自动添加单引号;
实际使用${}和#{}进行输出观察
需要配置sql的输出日志方便观察输出结果
<!-- settings:控制mybatis的全局行为-->
<settings>
<!--设置mybatis输出日志-->
<!--logImpl:表示对日志的控制-->
<!--STDOUT_LOGGING:将日志输出到控制台上-->
<setting name="logImpl" value="STDOUT_LOGGING" />
</settings>
注意:要在配置文件的第一行进行配置
观察 ${}
<!--通过$进行查询-->
<select id="selectBy$" parameterType="java.lang.String" resultType="com.qcby.entity.User">
select * from user where username = ${value}
</select>
结果如下图:
可以发现输出的sql 直接在上边拼接好了我们要查询的值,但出现了错误。
将这条sql语句放入到mysql当中去执行,发现错误原因是sql语句在值上没有带单引号。
所以我们需要重新编辑sql,加上单引号,这样才是正确的sql语句。
观察 #{}
<!--通过#进行查询-->
<select id="select" parameterType="java.lang.String" resultType="com.qcby.entity.User">
select * from user where username = #{username}
</select>
结果输出如下:
可以看到当前执行的sql语句的日志执行结果最后的条件值是用 ?代替
总结:$使用的是字符串连接的方式,#使用的是占位符的方式
${}和#{}区别是什么?
#{}的预编译
#{} 是占位符:动态解析 -> 预编译 -> 执行
${} 是拼接符:动态解析 -> 编译 -> 执行
预编译可以类比java类的编译,java类被编译成class文件,载入虚拟机,载入虚拟机的字节码文件可以先被编译成机器码,那么在执行某行代码的时候就可以直接执行编译后的机器码,而不用从字节码开始编译再执行,那么执行效率就高了。
sql的预编译也是一样的道理,在执行前就编译好,等执行时直接取编译结果去执行,省去编译时间。sql预编译后会在参数位置用占位符表示。
预编译:
数据库驱动在发送sql和参数到DBMS之前,先对sql语句进行编译处理,之后DBMS则可以直接对sql进行处理,不需要再次编译,提高了性能。
这一点mybatis 默认情况下,将对所有的 sql 进行预编译处理。
- 预编译可以将多个操作步骤合并成一个步骤,一般而言,越复杂的sql,编译程度也会复杂,难度大,耗时,费性能,而预编译可以合并这些操作,预编译之后DBMS可以省去编译直接运行sql。
- 预编译语句可以重复利用。把一个 sql 预编译后产生的 PreparedStatement 对象缓存下来,下次对于同一个sql,可以直接使用这个缓存的 PreparedState 对象。
sql注入攻击问题
使用${}做字符串拼接的方式不安全,可能存在sql注入问题。
SQL语句的流程
本地拼接SQL语句 ——> 发送SQL语句到数据库 ——> 数据库编译SQL语句 ——> 执行
本地拼接SQL语句存在SQL注入安全隐患
select * from user where username = ${value};
比如我们要做上面这个查询,数据库中只有张三可以安全登录,但是如果传参是: '张三' or username = '李四',那么就变成了张三和李四都可以登录。
这种通过传参就能改变SQL语句原本规则的操作就是SQL注入,这个在实际生产中当然是危险的,攻击者可以把SQL命令插入到Web表单的输入域或页面请求的查询字符串中,欺骗服务器执行恶意的SQL命令。
为什么#{}可以预防sql注入
这个时候就可以聊聊为什么#{}之所以能够预防sql注入了。
mybatis的#{}之所以能够预防sql注入是因为底层使用了PrepardStatment类的setString()方法来设置参数, 此方法会获取参数传递过来的每个字符,然后进行循环对比,如果发现有敏感字符(如:单引号、双引号等), 则会在上边加一个‘/’代表转义此符号,让其变成一个普通的字符串,不参与SQL语句的生成,达到预防sql注入的效果
如何选择使用 #{} 和 ${}
1. 能用 #{} 的地方就用 #{},尽量少用 ${}
2. 表名作参数,或者order by 排序时用 ${}
3. 传参时参数使用@Param("")注解,@Param注解的作用是给参数命名,参数命名后就能根据名字得到参数值(相当于又加了一层密), 正确的将参数传入sql语句中(一般通过#{}的方式,${}会有sql注入的问题)