Mybatis-09.基础操作-删除(预编译SQL)

一.预编译SQL

我们执行的SQL语句的结果虽然在可视化界面中可以看到。但是执行的过程并没有直观的看到。因此在mybatis框架当中,我们可以借助mybatis的日志来看到这些信息。这些日志是默认没有开启的,是关闭的,要查看日志,要按如下操作。

配置好后再次执行,发现确实是变了

这个SQL语句有一个专业的名字,叫做预编译SQL。

采用预编译SQL,参数会替换掉?,从而删除掉id=16的结果。

二.为什么要采用预编译的SQL?

一个SQL语句在执行时,会先检查缓存中是否有,有的话直接执行缓存中的SQL语句,如果没有的话先缓存再执行。

不使用预编译SQL,那么id不一样,就要重新缓存再执行

如果使用预编译:

第一次id = 1,delete from emp where id = ?在缓存当中没有,因此要先存入缓存中。第二次id = 2和id = 3直接执行就行,因为缓存中已经有了。这样就只需要预编译一次就行。 性能更高。

三.SQL注入

使用预编译SQL可以防止SQL注入问题,那么什么是SQL注入呢?

在后台管理系统的登录中,通过输入的用户名和密码,我们在数据库中进行校验。如果账号和密码校验成功那么便能够登录系统。将账号和密码填入到select count(*) from emp where username = ' ' and password = ' ',如果在数据库中找到了正确的信息,那么就证明该用户的账号密码正确,从而可以登录。但是有一个问题:

当我用户名随意输入,而密码输入为 ' or '1' = '1 时,仍然可以登录,这是为什么呢?

原因在于如果不使用预编译的SQL语句,那么就会将账号和密码拼接到其相应的位置,那么就会导致其SQL语句被更改,从而进行登录。当我们添加上 ' or '1' = '1时,SQL语句变为:

select count(*) from emp where username = 'wueiuwieuwueiw' and password = '' or '1' = '1'

这样的话后面的or '1' = '1'会永远成立,导致前面的条件判断失效,进而导致非用户也可以登录。

要想解决这个问题,就不能使用直接拼接sql语句的形式,而是应该使用预编译sql的形式。在预编译中会将输入作为一个整体填入到?占位符的地方,从而避免SQL注入问题。

那么如何使用MySQL的预编译语句呢?只要使用#{}这个预编译的占位符,那么就可以生成预编译SQL。编译后会被?替代掉。

相关推荐
腥臭腐朽的日子熠熠生辉28 分钟前
解决maven失效问题(现象:maven中只有jdk的工具包,没有springboot的包)
java·spring boot·maven
ejinxian30 分钟前
Spring AI Alibaba 快速开发生成式 Java AI 应用
java·人工智能·spring
杉之36 分钟前
SpringBlade 数据库字段的自动填充
java·笔记·学习·spring·tomcat
圈圈编码1 小时前
Spring Task 定时任务
java·前端·spring
俏布斯1 小时前
算法日常记录
java·算法·leetcode
27669582921 小时前
美团民宿 mtgsig 小程序 mtgsig1.2 分析
java·python·小程序·美团·mtgsig·mtgsig1.2·美团民宿
爱的叹息1 小时前
Java 连接 Redis 的驱动(Jedis、Lettuce、Redisson、Spring Data Redis)分类及对比
java·redis·spring
程序猿chen1 小时前
《JVM考古现场(十五):熵火燎原——从量子递归到热寂晶壁的代码涅槃》
java·jvm·git·后端·java-ee·区块链·量子计算
oh,huoyuyan2 小时前
火语言RPA--Sqlite-执行SQL
sql·sqlite·rpa
松韬2 小时前
Spring + Redisson:从 0 到 1 搭建高可用分布式缓存系统
java·redis·分布式·spring·缓存