#{}:占位符号(在对数据解析时会对数据自动添加’ ')
${}: sql拼接符号(替换结果不会增加单引号‘’,like和order by后使用,存在sql注入问题,需手动代码中过滤)
1、理解:
mybatis 在对 sql 语句进行预编译之前,会对 sql 进行动态解析,解析为一个 BoundSql 对象,也是在此处对动态 SQL 进行处理的。在动态 SQL 解析阶段, #{ } 和 ${ } 会有不同的表现。
#{ }:解析为一个 JDBC 预编译语句(prepared statement)的参数标记符。
就比如mapper.xml文件中的sql语句:
select * from student where name = #{name};
//上面的sql语句就会解析为
select * from student where name=? ;
${ } 仅仅为一个纯碎的 string 替换,在动态 SQL 解析阶段将会进行变量替换。
select * from student where name = ${name};
//当我们为上面的sql语句中name属性赋值为小明时就会
select * from student where name="小明" ;
预编译之前的 SQL 语句已经不包含变量了,完全已经是常量数据了。
综上所得, ${ } 变量的替换阶段是在动态 SQL 解析阶段,而 #{ }变量的替换是在 DBMS 中。
2、两者的使用:
一般来说是能使用#{ }的都是用#{}
首先这是为了性能考虑的,相同的预编译 sql 可以重复利用。
其次,${ } 在预编译之前已经被变量替换了,这会存在 sql 注入问题。
有一点需要注意就是表名作为变量时必须使用${ }
因为,表名是字符串,使用 sql 占位符替换字符串时会带上单引号 ‘’,这会导致 sql 语法错误
3、sql预编译:
-
定义:sql 预编译指的是数据库驱动在发送 sql 语句和参数给 DBMS 之前对 sql 语句进行编译,这样 DBMS 执行 sql 时,就不需要重新编译。
-
为什么需要预编译?
JDBC 中使用对象 PreparedStatement 来抽象预编译语句,使用预编译。
预编译阶段可以优化 sql 的执行。预编译之后的 sql 多数情况下可以直接执行,DBMS 不需要再次编译,越复杂的sql,编译的复杂度将越大,预编译阶段可以合并多次操作为一个操作。
预编译语句对象可以重复利用。把一个 sql 预编译后产生的 PreparedStatement 对象缓存下来,下次对于同一个sql,可以直接使用这个缓存的 PreparedState 对象。
mybatis 默认情况下,将对所有的 sql 进行预编译。
