关键词,预编译,防sql注入,动态sql
我们在使用mybatis中编写sql语句的时候,经常会使用#或者$来取值,也会在一条sql中同时使用。两者的区别是什么呢?
首先在搞清楚两者区别之前,我们先了解一下什么是预编译。
在https://dev.mysql.com/doc/connector-j/8.0/en/connector-j-reference-implementation-notes.html 文档中关于PreparedStatement 部分有这么一句描述 Two variants of prepared statements are implemented by Connector/J, the client-side and the server-side prepared statements 。指出有两种预编译 客户端预编译和服务端预编译,客户端主要指jdbc驱动,服务端指mysql。
已知的MySQL Server 4.1之前的版本是不支持预编译的, 参考博文1,对预编译默认是否开启做了探索,得出结论 是否开启跟具体的驱动版本有关系。本文在官网https://dev.mysql.com/doc/connector-j/5.1/en/connector-j-reference-configuration-properties.html和https://dev.mysql.com/doc/connector-j/8.0/en/connector-j-reference-configuration-properties.html 看到的关于useServerPrepStmts的描述都是Default: false。
开启服务端预编译的关键参数:
1.开启服务端预编译的全局参数 useServerPrepStmts=true,默认是不开启的,官方描述 Use server-side prepared statements if the server supports them?
2还有一个黄金搭档,开启预编译缓存参数 cachePrepStmts= true,该参数同时控制client-side和server-side的缓存,默认不开启,Should the driver cache the parsing stage of PreparedStatements of client-side prepared statements, the "check" for suitability of server-side prepared and server-side prepared statements themselves?
为何说这两个参数数黄金搭档,因为两者同时使用效果才是最佳的。文章底部的两篇参考博文都有对这块性能的实验,并且结论一致。通过客户端预编译、客户端预编译+缓存、服务端预编译、服务端预编译+缓存四组对照,结论 是用服务端预编译+缓存 性能稍微比客户端预编译+缓存强。而如果服务端只开启预编译而不开启缓存则性能最差。
参考博文2 结尾提到这么一句:但是对于不频繁使用的语句,服务端预编译本身会增加额外的round-trip,因此在实际开发中可以视情况定夺使用本地预编译还是服务端预编译以及哪些sql语句不需要开启预编译等。
在mybatis中insert,update,select,delete 标签中有一项statementType设置。(https://www.jianshu.com/p/2be7903e8158)
statementType可选项 STATEMENT,PREPARED 或 CALLABLE 的一个,让 MyBatis 分别使用 Statement(非预编译),PreparedStatement (预编译)或 CallableStatement(执行存储过程)。默认值:PREPARED。以前没有太注意statementType这个设置,#和$的使用是需要配合statementType来使用的。所以下面写了三个查询测试一下
@Select({"select * from ${param1} where id=#{param2}"})
@Options(statementType =StatementType.STATEMENT)
XyxUser select2(String tablename,String uid);
结果execute error. select * from user where id=? ;占位符的位置不能被替换成参数值。
@Options(statementType =StatementType.PREPARED)
@Select({"select * from ${param1} where id=#{param2}"})
XyxUser select3(String tablename,String uid);
结果:查询成功
@Select({"select * from ${param1} where id=${param2}"})
@Options(statementType =StatementType.STATEMENT)
XyxUser select4(String tablename,String uid);
结果:select * from user where id=abc91170;Unknown column 'abc91170' in 'where clause'
通过上述三个查询,验证$和#混用,与statementType搭配的情况得出以下结论:
1 # 必须搭配preparedStatement使用,占位符才能获取参数值。
2 $可以在statement和preparedStatement中使用。
3 ${ } 仅仅为一个纯碎的 string 替换,在动态 SQL 解析阶段将会进行变量替换,用来传动态表名、列名,作为sql结构的拼接部分,如动态tablename select * from ${tablename} ,
select * from user order by ${age}
4 #{ } 被解析为一个参数占位符 ? ,直观上就是值被加了“value”,用来传递参数值 select * from user where id=#{id} 。
参考博文:
网友评论