Mybatis-09.基础操作-删除(预编译SQL)

一.预编译SQL

我们执行的SQL语句的结果虽然在可视化界面中可以看到。但是执行的过程并没有直观的看到。因此在mybatis框架当中,我们可以借助mybatis的日志来看到这些信息。这些日志是默认没有开启的,是关闭的,要查看日志,要按如下操作。

配置好后再次执行,发现确实是变了

这个SQL语句有一个专业的名字,叫做预编译SQL。

采用预编译SQL,参数会替换掉?,从而删除掉id=16的结果。

二.为什么要采用预编译的SQL?

一个SQL语句在执行时,会先检查缓存中是否有,有的话直接执行缓存中的SQL语句,如果没有的话先缓存再执行。

不使用预编译SQL,那么id不一样,就要重新缓存再执行

如果使用预编译:

第一次id = 1,delete from emp where id = ?在缓存当中没有,因此要先存入缓存中。第二次id = 2和id = 3直接执行就行,因为缓存中已经有了。这样就只需要预编译一次就行。 性能更高。

三.SQL注入

使用预编译SQL可以防止SQL注入问题,那么什么是SQL注入呢?

在后台管理系统的登录中,通过输入的用户名和密码,我们在数据库中进行校验。如果账号和密码校验成功那么便能够登录系统。将账号和密码填入到select count(*) from emp where username = ' ' and password = ' ',如果在数据库中找到了正确的信息,那么就证明该用户的账号密码正确,从而可以登录。但是有一个问题:

当我用户名随意输入,而密码输入为 ' or '1' = '1 时,仍然可以登录,这是为什么呢?

原因在于如果不使用预编译的SQL语句,那么就会将账号和密码拼接到其相应的位置,那么就会导致其SQL语句被更改,从而进行登录。当我们添加上 ' or '1' = '1时,SQL语句变为:

select count(*) from emp where username = 'wueiuwieuwueiw' and password = '' or '1' = '1'

这样的话后面的or '1' = '1'会永远成立,导致前面的条件判断失效,进而导致非用户也可以登录。

要想解决这个问题,就不能使用直接拼接sql语句的形式,而是应该使用预编译sql的形式。在预编译中会将输入作为一个整体填入到?占位符的地方,从而避免SQL注入问题。

那么如何使用MySQL的预编译语句呢?只要使用#{}这个预编译的占位符,那么就可以生成预编译SQL。编译后会被?替代掉。

相关推荐
程序猿阿伟2 分钟前
《C++中的魔法:实现类似 Python 的装饰器模式》
java·c++·装饰器模式
Mr. zhihao4 分钟前
装饰器模式详解:动态扩展对象功能的优雅解决方案
java·开发语言·装饰器模式
2401_8576009511 分钟前
商场应急管理:SpringBoot技术解决方案
java·spring boot·后端
小黑0313 分钟前
Spark SQL DSL
大数据·sql·spark
想做白天梦23 分钟前
多级反馈队列
java·windows·算法
潇雷24 分钟前
算法Day12|226-翻转二叉树;101-对称二叉树;104-二叉树最大深度;111-二叉树最小深度
java·算法·leetcode
一颗甜苞谷32 分钟前
开源一套基于若依的wms仓库管理系统,支持lodop和网页打印入库单、出库单的源码
java·开源
半夏之沫34 分钟前
✨最新金九银十✨大厂后端面经✨
java·后端·面试
计算机学姐1 小时前
基于uniapp微信小程序的餐厅预约点餐系统
java·spring boot·微信小程序·小程序·java-ee·uni-app·tomcat