碼上快樂

相關內容    簡體    繁體

淺析mybatis中${}和#{}取值區別

本文轉載自   查看原文   2021-09-11 18:36   328    mybatis

jdbc回顧

mybatis作為一個輕量級的ORM框架,應用廣泛,其上手使用也比較簡單;一個成熟的框架,必然有精巧的設計,值得學習。

在使用mybatis框架時,在sql語句中獲取傳入的參數有如下兩種方式:

  • ${paramName}
  • #{paramName}

那如何理解這兩種傳參方式呢?如下帶你走近背后的奧義。

先來回顧下原生Jdbc查詢:

public static void main(String[] args) throws Exception {

  // sql語句
  String sql = "select id,name from customer limit 2";
  // 1.加載驅動, 此處使用的mysql驅動包是8.0版本, 若為5.0+版本, 請修改以下類路徑
  Class.forName("com.mysql.cj.jdbc.Driver");
  // 2.獲取數據庫連接
  String url = "jdbc:mysql://localhost:3306/work?useSSL=false&useUnicode=true" +
    "&characterEncoding=UTF-8&useJDBCCompliantTimezoneShift=true" +
    "&useLegacyDatetimeCode=false&serverTimezone=UTC";
  Connection conn = DriverManager.getConnection(url,"root", "123456");
  // 3、獲得可以執行sql語句的對象
  Statement st = conn.createStatement();
  // 4、使用對象去執行SQL語句
  ResultSet rs = st.executeQuery(sql);
  // 5、處理sql語句返回的結果集
  while(rs.next()){
    // 獲得一行數據
    Integer id = rs.getInt("id");
    String name = rs.getString("name");
    System.out.println("sql查詢: id = " + id + " , name = " + name);
  }
  // 6、釋放資源
  rs.close();
  st.close();
  conn.close();
}

控制台打印:

sql查詢: id = 1 , name = 李白
sql查詢: id = 2 , name = 杜甫

了解Jdbc的人會知道,其中第3、4步兩條語句也可以換成如下兩條:

// 3.創建 PreparedStatement 對象去執行sql
PreparedStatement preparedStatement = conn.prepareStatement(sql);
// 4.執行sql語句
ResultSet rs = preparedStatement.executeQuery();

我們來比較下區別:

  • 創建 PreparedStatement 對象時就把sql語句傳入,在執行語句時就不用傳入sql了;而 Statement 則剛好相反

 

這就引出了預編譯的概念:

  • 如果使用PreparedStatement 對象,那么在執行第3步時,你既然已經傳入了sql,則相當於這條sql會被數據庫編譯(數據庫對sql語句的編譯也是相當復雜的),所以在第4步執行的時候就不用再傳入sql了,因為數據庫已經知道你要執行的sql了,你只需要傳入參數即可;

  • 如果使用Statement對象,那容易理解,數據庫就沒有提前去解析你的sql,因為你創建對象時都沒有傳入;當執行sql時,數據庫再編譯與執行。

看到這里,可能也僅僅只記住了一個預先編譯sql了,一個沒有預先編譯,並沒有了解到對於實際開發中的區別,以下將會舉例說明。

 

那是否PreparedStatement對象這種方式就一定比Statement對象方式好?

 沒有那么絕對的事,大家要理解:

  PreparedStatement對象的好處是,sql已經提前編譯好,剩下的工作就是傳入參數即可,編譯好的sql可以復用,傳入不同的參數,則數據庫就將相應的參數填入編譯好的sql。而Statement對象就是每次都要傳入sql,丟給數據庫去編譯再執行;但是創建PreparedStatement對象的開銷是比Statement對象大的

  回歸到日常開發中,以上的區別我們壓根也不用在意,事實上,百分之九十的場景我們使用的是PreparedStatement對象的方式,可能平時沒有感知到,因為這是框架已經封裝了。再者,當系統出現性能問題時,也絕對不會是因為這兩個對象的原因。

 

使用區別

以上簡單回顧了下Jdbc中PreparedStatementStatement對象;

可以預料,mybatis中${} 與 #{} 這兩種取值方式就是相當於對應着PreparedStatementStatement對象的區別了。

  • #{} 傳參,代表sql已經預編譯好了,你傳入的參數真的就僅僅是參數!
  • ${} 傳參,隨便你傳,傳完了之后我再統一編譯

那具體在使用中有什么不同呢?理解如下兩種場景:

編譯方式

@Override
public List<Map<String, Object>> listUser() {
  String param = " and name = '李白'";
  return indexMapper.listUser(param);
}

<select id="listUser" resultType="map">
  select * from customer
  where 1 = 1 #{param}
</select>

以上代碼能正常查詢嗎?

### Error querying database.  Cause: java.sql.SQLSyntaxErrorException: You have 
  an error in your SQL syntax; check the manual that corresponds to your MySQL 
    server version for the right syntax to use near '' and name = \'李白\''

不能!會報sql語句規則錯誤,之前說了,#{} 取值代表sql已經編譯好了,你傳入的僅僅是參數

對應上面示例:

  sql是指:select * from customer where 1 = 1

  參數是指:and name = '李白'

此時sql可以正確運行,但是帶上傳入的參數就不行了,要理解你傳入的真的僅僅是參數,不要和前面的sql混了。

但是這明顯不對,因為想表達的其實是這樣:

  sql是指:select * from customer where 1 = 1 and name = ?

  參數是指:'李白'

此時把參數替換進占位符是可以正常運行整個語句的。

所以此時應該用 ${param},因為用${}就沒有提前編譯好哪些是屬於sql。

此示例表明:當你傳入的參數不僅僅是參數,其實是一小段sql,想和原sql拼接在一起時,那就得用${}傳參,相當於拼接好了之后丟給

數據庫去解析整個語句;

sql中的問號代表參數占位符,這也是PreparedStatement對象特點之一,會將你傳入的參數一一替換進占位符

 

反之如下:

@Override
public List<Map<String, Object>> listUser() {
  String param = "李白";
  return indexMapper.listUser(param);
}

<select id="listUser" resultType="map">
  select * from customer
  where 1 = 1 and name = #{param}
</select>

這種情況使用 #{} 就是對的了,因為傳入的參數僅僅就是參數,替換進sql語句中即可。

 

對參數類型的影響

@Override
public List<Map<String, Object>> listUser() {
  String param = "李白";
  return indexMapper.listUser(param);
}

<select id="listUser" resultType="map">
  select * from customer
  where 1 = 1 and name = ${param}
</select>

以上代碼能執行成功嗎?

按理說,傳入的僅僅是參數,不管是否預編譯都應該能執行,但是實際還是會報錯。

這是執行時打印出的sql語句:

select * from customer where 1 = 1 and name = 李白

顯然,問題就在於參數沒有加單引號,name字段是字符串類型,傳入的也是字符串,偏偏mybatis轉換之后沒有加單引號。

所以當傳入字符串類型參數時,應該用 #{} 取值,此時會自動加上單引號。

再看下面這種語句:

@Override
public List<Map<String, Object>> listUser() {
  String param = "name";
  return indexMapper.listUser(param);
}

<select id="listUser" resultType="map">
  select * from customer
  where 1 = 1
  order by ${param} desc
</select>

此時傳入的參數是要排序的字段名稱,之前說了,如果采用#{} 取值,則實際是會自動加上單引號的,但是order by后面的排序字段需要單引號嗎?

  不需要,所以這種情況只能使用 ${} 取值。

你可能會發現此處用 #{} 取值也不會報錯,那是因為mysql支持這種寫法,但是查詢的結果並不對。

 

  日常開發中,只要能理解上述兩種情形,那么就能正確使用 ${} 和 #{},由於這兩種方式取值原理的區別,也容易明白 #{} 這種方式是可以防止sql注入的。

  若有錯誤,望指出交流。


免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



猜您在找 mybatis映射文件參數處理 #{}取值與${}取值的區別 淺析webpack中mode的取值及不同取值的作用/打包方式及搖樹優化(tree-shaking)的理解 MyBatis中#{}和${}的區別詳解 區別 mybatis中#{}與${}區別 Mybatis 中$與#的區別 mybatis中的#和$的區別 MyBatis中#{}和${}的區別 mybatis中#{}和${}的區別 Mybatis中#{}與&{}的區別 MyBatis中#{}和${}的區別詳解
 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM