MyBatis预编译
<select id="getUserById" resultMap="UserMap" parameterType="java.util.String">
select
id,username,password,age,sex
from
t_user_info
where
id=#{id}
</select>
打印SQL
select
id,username,password,age,sex
from
t_user_info
where
id=?
MyBatis非预编译
<select id="getUserById" resultMap="UserMap" parameterType="java.util.String">
select
id,username,password,age,sex
from
t_user_info
where
id='${id}'
</select>
打印SQL
select
id,username,password,age,sex
from
t_user_info
where
id='1000001'
两者实际执行执行SQL相同
select
id,username,password,age,sex
from
t_user_info
where
id='10000001'
SQL注入攻击情况下(String id = "10000001' OR '1'='1";)
预编译打印SQL,实际执行SQL
select
id,username,password,age,sex
from
t_user_info
where
id=?
select
id,username,password,age,sex
from
t_user_info
where
id="10000001' OR '1'='1"(这里为方便理解将两边的'修改成了",实际为id='10000001' OR '1'='1',
但是效果为id="10000001' OR '1'='1")
如果没有id为“10000001' OR '1'='1”的信息返回null
非预编译打印SQL,实际执行SQL
select
id,username,password,age,sex
from
t_user_info
where
id='10000001' OR '1'='1'
select
id,username,password,age,sex
from
t_user_info
where
id='10000001' OR '1'='1'
无论有没有id为“10000001',均返回所有用户信息
总结
预编译(#{})会将SQL提前编译好,#{}位置为占位符,执行时候一个占位符就对应一个变量,不会影响到SQL结
构,所以不会存在SQL注入问题;
非预编译(${})不会提前编译SQL,${}位置会直接将变量拼接进来,会影响到SQL的本身机构
Mybatis的SQL缓存
Mybatis的预编译会将编译后的SQL缓存起来,再次遇到相同的SQL会直接使用不会再次编译
Mybatis的SQL优化
预编译阶段可以对sql语句进行优化;
预编译可以将多个操作步骤合并成一个步骤,一般而言,越复杂的sql,编译程度也会复杂,难度大,耗时,费性
能,而预编译可以合并这些操作,预编译之后DBMS可以省去编译直接运行sql。(节选https://www.jianshu.com
/p/59155963d790)