Mybatis-09.基础操作-删除(预编译SQL)

一.预编译SQL

我们执行的SQL语句的结果虽然在可视化界面中可以看到。但是执行的过程并没有直观的看到。因此在mybatis框架当中,我们可以借助mybatis的日志来看到这些信息。这些日志是默认没有开启的,是关闭的,要查看日志,要按如下操作。

配置好后再次执行,发现确实是变了

这个SQL语句有一个专业的名字,叫做预编译SQL。

采用预编译SQL,参数会替换掉?,从而删除掉id=16的结果。

二.为什么要采用预编译的SQL?

一个SQL语句在执行时,会先检查缓存中是否有,有的话直接执行缓存中的SQL语句,如果没有的话先缓存再执行。

不使用预编译SQL,那么id不一样,就要重新缓存再执行

如果使用预编译:

第一次id = 1,delete from emp where id = ?在缓存当中没有,因此要先存入缓存中。第二次id = 2和id = 3直接执行就行,因为缓存中已经有了。这样就只需要预编译一次就行。 性能更高。

三.SQL注入

使用预编译SQL可以防止SQL注入问题,那么什么是SQL注入呢?

在后台管理系统的登录中,通过输入的用户名和密码,我们在数据库中进行校验。如果账号和密码校验成功那么便能够登录系统。将账号和密码填入到select count(*) from emp where username = ' ' and password = ' ',如果在数据库中找到了正确的信息,那么就证明该用户的账号密码正确,从而可以登录。但是有一个问题:

当我用户名随意输入,而密码输入为 ' or '1' = '1 时,仍然可以登录,这是为什么呢?

原因在于如果不使用预编译的SQL语句,那么就会将账号和密码拼接到其相应的位置,那么就会导致其SQL语句被更改,从而进行登录。当我们添加上 ' or '1' = '1时,SQL语句变为:

select count(*) from emp where username = 'wueiuwieuwueiw' and password = '' or '1' = '1'

这样的话后面的or '1' = '1'会永远成立,导致前面的条件判断失效,进而导致非用户也可以登录。

要想解决这个问题,就不能使用直接拼接sql语句的形式,而是应该使用预编译sql的形式。在预编译中会将输入作为一个整体填入到?占位符的地方,从而避免SQL注入问题。

那么如何使用MySQL的预编译语句呢?只要使用#{}这个预编译的占位符,那么就可以生成预编译SQL。编译后会被?替代掉。

相关推荐
什么芮.3 分钟前
spark-streaming
pytorch·sql·spark·kafka·scala
雾月5514 分钟前
LeetCode 1292 元素和小于等于阈值的正方形的最大边长
java·数据结构·算法·leetcode·职场和发展
24k小善1 小时前
Flink TaskManager详解
java·大数据·flink·云计算
想不明白的过度思考者1 小时前
Java从入门到“放弃”(精通)之旅——JavaSE终篇(异常)
java·开发语言
.生产的驴2 小时前
SpringBoot 封装统一API返回格式对象 标准化开发 请求封装 统一格式处理
java·数据库·spring boot·后端·spring·eclipse·maven
猿周LV2 小时前
JMeter 安装及使用 [软件测试工具]
java·测试工具·jmeter·单元测试·压力测试
晨集2 小时前
Uni-App 多端电子合同开源项目介绍
java·spring boot·uni-app·电子合同
时间之城2 小时前
笔记:记一次使用EasyExcel重写convertToExcelData方法无法读取@ExcelDictFormat注解的问题(已解决)
java·spring boot·笔记·spring·excel
椰羊~王小美2 小时前
LeetCode -- Flora -- edit 2025-04-25
java·开发语言
凯酱2 小时前
MyBatis-Plus分页插件的使用
java·tomcat·mybatis