目录
一、#{ }和${ }传参的区别
我们先来看一下,使用两个方式传递Integer的日志上的不同。
- 我们可以看见使用#{ }传参的参数没有在后⾯拼接,id的值是使⽤ ? 进⾏占位. 这种SQL 我们称之为"预编译SQL" 。
- 而使用${ } 传参的参数直接在后⾯拼接,这种SQL 我们称之为"即时SQL" 。
并且当我们使用${ ]传String类型的参数的时候,我们跟#{ }使用同样方式会报错。
这个原因是因为{ }传参是直接拼接,导致我们SQL语句传参是字符串时参数没有用引号括起来,语法直接报错了。我们使用{ }传字符串要加引号。
java
@Select("select * from user_info where username = '${userName}' and password = '${password}'")
List<UserInfo> selectUsernameAndPassWord(String userName, String password) ;即时SQL与预编译SQL区别:
一条SQL的执行流程如下:
- 解析语法和语义, 校验SQL语句是否正确
- 优化SQL语句, 制定执⾏计划
- 执⾏并返回结果
预编译SQL就可以当执行相同SQL语句,只是参数不同时,不用执行第1步和 第2步。编译⼀次之后会将编译后的SQL语句缓存起来,后⾯再次执⾏这条语句时,不会再次编译。
#{ }与${ }区别:
- #{ }由于是预编译SQL的原因性能更高一些。
- #{ }还能防止SQL注入的安全问题。
SQL注⼊:是通过操作输⼊的数据来修改事先定义好的SQL语句,以达到执⾏代码对服务器进⾏攻击的⽅法。
由于没有对⽤⼾输⼊进⾏充分检查,⽽SQL⼜是拼接⽽成,在⽤⼾输⼊参数时,在参数中添加⼀些SQL关键字,达到改变SQL运⾏结果的⽬的,也可以完成恶意攻击。
sql
--这条SQL语句就有SQL注入的问题
select username, `password`, age, gender, phone from user_info where
password = ''or 1 ='1'
二、排序
我们将排序的方式作为参数传递,用户选择升序还是降序。
java
@Select("select * from user_info order by id #{order}")
List<UserInfo> selectAllSort(String order) ;测试方法:
java
@Test
void selectAllSort() {
System.out.println(userMapper.selectAllSort("desc"));
}向上面这样使用#{ }传参会报错:会解析SQL语句为select * from user_info order by id 'desc'
我们在这种情况下 只能使用${ }传参。但是又要防止SQL注入的风险。由于排序只有desc和asc两种选项,我们在后端写好校验,防止SQL注入。
java
@Select("select * from user_info order by id ${order}")
List<UserInfo> selectAllSort(String order) ;三、like查询
java
@Select("select * from user_info where username like '%#{name}%' ")
List<UserInfo> selectLike(String name) ;也会报错:解析为select * from user_info where username like '%'zhang'%'
我们这里不能使用${ }来解决,由于参数不是有限固定的,不能进行校验 防止SQL注入。我们使用SQL的字符串拼接函数concat。
java
@Select("select * from user_info where username like concat('%', #{name} ,'%') ")
List<UserInfo> selectLike(String name) ;测试方法:
java
@Test
void selectLike() {
userMapper.selectLike("zhang");
}结果:
四、数据库连接池
数据库连接池负责分配、管理和释放数据库连接,它允许应⽤程序重复使⽤⼀个现有的数据库连接,⽽不是再重新建⽴⼀个。
常⻅的数据库连接池:C3P0 DBCP Druid Hikari ⽬前⽐较流⾏的是 Hikari, Druid。
Hikari是SpringBoot默认使⽤的数据库连接池。
果我们想把默认的数据库连接池切换为Druid数据库连接池,只需要引⼊相关依赖即可。
xml
--3.x版本
<dependency>
<groupId>com.alibaba</groupId>
<artifactId>druid-spring-boot-3-starter</artifactId>
<version>1.2.21</version>
</dependency>
--2.x版本
<dependency>
<groupId>com.alibaba</groupId>
<artifactId>druid-spring-boot-starter</artifactId>
<version>1.1.17</version>
</dependency>五、MySQL 开发企业规范
- 表名, 字段名使⽤⼩写字⺟或数字, 单词之间以下划线分割. 尽量避免出现数字开头或者两个下划线中间只出现数字.数据库字段名的修改代价很⼤,所以字段名称需要慎重考虑。
MySQL 在 Windows 下不区分⼤⼩写, 但在 Linux下默认是区分⼤⼩写.因此,数据库名,表名,字段名都不允许出现任何⼤写字⺟, 避免节外⽣枝
正例: aliyun_admin,rdc_config, level3_name
反例: AliyunAdmin,rdcConfig,level_3_name
- 表必备三字段: id, create_time, update_time
id 必为主键, 类型为 bigint unsigned, 单表时⾃增, 步⻓为 1
create_time, update_time 的类型均为 datetime 类型, create_time表⽰创建时间,
update_time表⽰更新时间
有同等含义的字段即可, 字段名不做强制要求
- 在表查询中, 避免使⽤ * 作为查询的字段列表, 标明需要哪些字段.
- 增加查询分析器解析成本
- 增减字段容易与 resultMap 配置不⼀致
- ⽆⽤字段增加⽹络消耗, 尤其是text 类型的字段