Mybatis下动态sql中##和$$的区别讲解
一、介绍
mybatis中使用Mapper.xml里面的配置进行sql查询,经常需要动态传递参数,例如我们需要根据用户的姓名来筛选用户时,sql如下:
select*fromuserwherename="Jack";
上述sql中,我们希望name后的参数"Jack"是动态可变的,即不同的时刻根据不同的姓名来查询用户。在Mapper.xml文件中使用如下的sql可以实现动态传递参数name:
select*fromuserwherename=#{name};
或者是:
select*fromuserwherename=${name};
二、$与#
1.区别:
动态SQL是mybatis的强大特性之一,也是它优于其他ORM框架的一个重要原因。mybatis在对sql语句进行预编译之前,会对sql进行动态解析,解析为一个BoundSql对象,也是在此处对动态SQL进行处理的。在动态SQL解析阶段,#{}和${}会有不同的表现。
#{}:解析为一个JDBC预编译语句(preparedstatement)的参数标记符。
例如,Mapper.xml中如下的sql语句:
select*fromuserwherename=#{name};
动态解析为:
select*fromuserwherename=?;
一个#{}被解析为一个参数占位符?。
而${}仅仅为一个纯碎的string替换,在动态SQL解析阶段将会进行变量替换。
例如,Mapper.xml中如下的sql:
select*fromuserwherename=${name};
当我们传递的参数为"Jack"时,上述sql的解析为:
select*fromuserwherename="Jack";
预编译之前的SQL语句已经不包含变量了,完全已经是常量数据了。
综上所得,${}变量的替换阶段是在动态SQL解析阶段,而#{}变量的替换是在DBMS中。
三、用法
1、能使用#{}的地方就用#{}
首先这是为了性能考虑的,相同的预编译sql可以重复利用。其次,${}在预编译之前已经被变量替换了,这会存在sql注入问题。例如,如下的sql:
select*from${tableName}wherename=#{name}
假如,我们的参数tableName为user;deleteuser;--,那么SQL动态解析阶段之后,预编译之前的sql将变为:
select*fromuser;deleteuser;--wherename=?;
--之后的语句将作为注释,不起作用,因此本来的一条查询语句偷偷的包含了一个删除表数据的SQL。
2.表名作为变量时,必须使用${}
这是因为,表名是字符串,使用sql占位符替换字符串时会带上单引号'',这会导致sql语法错误,例如:
select*from#{tableName}wherename=#{name};
预编译之后的sql变为:
select*from?wherename=?;
假设我们传入的参数为tableName="user",name="Jack",那么在占位符进行变量替换后,sql语句变为:
select*from'user'wherename='Jack';
上述sql语句是存在语法错误的,表名不能加单引号''(注意,反引号``是可以的)。
四、sql预编译
1.定义:
sql预编译指的是数据库驱动在发送sql语句和参数给DBMS之前对sql语句进行编译,这样DBMS执行sql时,就不需要重新编译。
2.为什么需要预编译
JDBC中使用对象PreparedStatement来抽象预编译语句,使用预编译。预编译阶段可以优化sql的执行。预编译之后的sql多数情况下可以直接执行,DBMS不需要再次编译,越复杂的sql,编译的复杂度将越大,预编译阶段可以合并多次操作为一个操作。预编译语句对象可以重复利用。把一个sql预编译后产生的PreparedStatement对象缓存下来,下次对于同一个sql,可以直接使用这个缓存的PreparedState对象。mybatis默认情况下,将对所有的sql进行预编译。
总结
以上就是这篇文章的全部内容了,希望本文的内容对大家的学习或者工作具有一定的参考学习价值,谢谢大家对毛票票的支持。如果你想了解更多相关内容请查看下面相关链接