什么是Mybatis
- mybatis是一款用于持久层的、轻量级的半自动化ORM框架,封装了所有jdbc操作以及设置查询参数和获取结果集的操作,支持自定义sql、存储过程和高级映射。
Mybatis预编译
- 如果我们在Mybatis的Mapper接口当中声明的SQL语句是 #{} , 则会生成预编译SQL
预编译SQL语句的优势
- 性能更高
-
更安全, 可以防止SQL注入
- 当Java把SQL语句发送给MySQL服务器时, 并不是立马开始执行SQL语句的, 而是先进行前面三部的操作, 最后再执行
- 当我们未采用预编译SQL语句时, 由于id的参数不一致, 导致三条SQL语句都不一致, 只能每次都重新编译, 性能低
- 而采用预编译SQL语句, id的值会被当成参数传递给 ? , 则每次要编译的语句都是一样的, 所以编译完一次后, 后续在缓存区即可找到, 无需再次编译, 只需要更换参数执行即可, 所以性能更高
什么是SQL注入
- SQL注入通过操作输入的数据来修改事先定义好的SQL语句, 以达到执行代码对服务器进行攻击的方法
- 即如果采取直接拼接的办法将输入的数据拼接到原先的SQL语句中, 那么可以根据输入的内容来改变原先语句的意思, 例如:
//原先定义好的SQL语句
select count(*) from emp where username = ' ' and password = ' ';
//我们要在控制台输入 username 和 password, 将我们所输入的数据跟数据库中的数据进行比较, 来判断我们的数据是否正确
//如果不是预编译SQL语句, 直接拼接我们的输入数据
//我们可以在 username 随便输入, 例如abc, 然后 password 输入 ' or '1' = '1
//此时原先的SQL语句变成
select count(*) from emp where username = 'abc' and password = ' ' or '1' = '1 ';
//那么此时SQL语句语义已发生改变, or 后连接的 '1' = '1' 恒为true, 所以即使账号密码错误依旧能够登录进服务器
- 当我们采用预编译SQL语句时, 会将我们输入的数据整体作为一个参数传入, 就可以避免上述的SQL注入问题
Mybatis中不同的参数占位符
XML映射文件
动态SQL语句
- 随着用户的输入或外部条件的变化而变化的SQL语句, 即为动态SQL
<if>
- <if>: 用于判断条件是否成立, 使用test属性进行条件判断, 如果为true, 则拼接SQL
- <where> 标签: 在子元素有内容的情况下, 动态生成WHERE关键字, 还会自动替换and或者or
- <set> 标签: 动态生成SET关键字, 并会删掉多余的逗号, 用于update语句中
<where>
<if test="name != null">
name like concat('%', #{name}, '%')
</if>
<if test="gender != null">
and gender = #{gender}
</if>
<if test="begin != null and end != null">
and entrydate between #{begin} and #{end}
</if>
</where>
<set>
<if test="username != null">username = #{username},</if>
<if test="name != null">name = #{name},</if>
<if test="gender != null">gender = #{gender},</if>
<if test="image != null">image = #{image},</if>
<if test="job != null">job = #{job},</if>
<if test="entrydate != null">entrydate = #{entrydate},</if>
<if test="deptId != null">dept_id = #{deptId},</if>
<if test="updateTime != null">update_time = #{updateTime}</if>
</set>
where id = #{id}
<foreach>
-
<foreach> 标签: 遍历元素, 用于一些批量操作, 例如批量删除
<delete id="delete">
delete from emp where id in
<foreach collection="ids" item = "id" separator="," open="(" close=")">
#{id}
</foreach>
</delete>
上述代码所生成的SQL语句如下:
<sql>&<include>
- <sql> 标签: 定义可以重复使用的SQL代码片段, 需要确定唯一属性id
- <include> 标签: 通过属性refid, 指定调用属性id的sql片段
<sql id="abc"> <!--抽取的代码-->
select id, username, password, name, gender, image, job, entrydate, dept_id, create_time, update_time
from emp
</sql>
<include refid="abc"/> <!--调用id为abc的sql片段, 且自闭和-->
