1、能使用 #{ } 的地方就用 #{ }
首先這是爲了性能考慮的,相同的預編譯 sql 可以重複利用。其次,${ } 在預編譯之前已經被變量替換了,這會存在 sql 注入問題。例如,如下的 sql:
假如,我們的參數 tableName 爲 user; delete user; --,那麼 SQL 動態解析階段之後,預編譯之前的 sql 將變爲:
-- 之後的語句將作爲註釋,不起作用,因此本來的一條查詢語句偷偷的包含了一個刪除表數據的 SQL。
2. 表名作爲變量時,必須使用 ${ }
這是因爲,表名是字符串,使用 sql 佔位符替換字符串時會帶上單引號 '',這會導致 sql 語法錯誤,例如:
預編譯之後的sql 變爲:
假設我們傳入的參數爲 tableName = "user" , name = "Jack",那麼在佔位符進行變量替換後,sql 語句變爲:
上述 sql 語句是存在語法錯誤的,表名不能加單引號 ''(注意,反引號 ``是可以的)。
總結:
1. 定義:
sql 預編譯指的是數據庫驅動在發送 sql 語句和參數給 DBMS 之前對 sql 語句進行編譯,這樣 DBMS 執行 sql 時,就不需要重新編譯。
2. 爲什麼需要預編譯
JDBC 中使用對象 PreparedStatement 來抽象預編譯語句,使用預編譯。預編譯階段可以優化 sql 的執行。預編譯之後的 sql 多數情況下可以直接執行,DBMS 不需要再次編譯,越複雜的sql,編譯的複雜度將越大,預編譯階段可以合併多次操作爲一個操作。預編譯語句對象可以重複利用。把一個 sql 預編譯後產生的 PreparedStatement 對象緩存下來,下次對於同一個sql,可以直接使用這個緩存的 PreparedState 對象。mybatis 默認情況下,將對所有的 sql 進行預編譯
