什么是Mybatis

• mybatis是一款用于持久层的、轻量级的半自动化ORM框架，封装了所有jdbc操作以及设置查询参数和获取结果集的操作，支持自定义sql、存储过程和高级映射。

Mybatis预编译

• 如果我们在Mybatis的Mapper接口当中声明的SQL语句是 #{} , 则会生成预编译SQL

预编译SQL语句的优势

1. 性能更高

2. 更安全, 可以防止SQL注入

   
   

• 当Java把SQL语句发送给MySQL服务器时, 并不是立马开始执行SQL语句的, 而是先进行前面三部的操作, 最后再执行
• 当我们未采用预编译SQL语句时, 由于id的参数不一致, 导致三条SQL语句都不一致, 只能每次都重新编译, 性能低
• 而采用预编译SQL语句, id的值会被当成参数传递给 ? , 则每次要编译的语句都是一样的, 所以编译完一次后, 后续在缓存区即可找到, 无需再次编译, 只需要更换参数执行即可, 所以性能更高

什么是SQL注入

• SQL注入通过操作输入的数据来修改事先定义好的SQL语句, 以达到执行代码对服务器进行攻击的方法
• 即如果采取直接拼接的办法将输入的数据拼接到原先的SQL语句中, 那么可以根据输入的内容来改变原先语句的意思, 例如:

//原先定义好的SQL语句
  select count(*) from emp where username = ' ' and password = ' ';
//我们要在控制台输入 username 和 password, 将我们所输入的数据跟数据库中的数据进行比较, 来判断我们的数据是否正确
//如果不是预编译SQL语句, 直接拼接我们的输入数据
//我们可以在 username 随便输入, 例如abc, 然后 password 输入 ' or '1' = '1
//此时原先的SQL语句变成
  select count(*) from emp where username = 'abc' and password = ' ' or '1' = '1 ';
//那么此时SQL语句语义已发生改变, or 后连接的 '1' = '1' 恒为true, 所以即使账号密码错误依旧能够登录进服务器

• 当我们采用预编译SQL语句时, 会将我们输入的数据整体作为一个参数传入, 就可以避免上述的SQL注入问题

Mybatis中不同的参数占位符

XML映射文件

动态SQL语句

• 随着用户的输入或外部条件的变化而变化的SQL语句, 即为动态SQL

<if>

• <if>: 用于判断条件是否成立, 使用test属性进行条件判断, 如果为true, 则拼接SQL
• <where> 标签: 在子元素有内容的情况下, 动态生成WHERE关键字, 还会自动替换and或者or
• <set> 标签: 动态生成SET关键字, 并会删掉多余的逗号, 用于update语句中

        <where>
            <if test="name != null">
                name like concat('%', #{name}, '%')
            </if>
            <if test="gender != null">
                and gender = #{gender}
            </if>
            <if test="begin != null and end != null">
                and entrydate between #{begin} and #{end}
            </if>
        </where>

        <set>
        <if test="username != null">username = #{username},</if>
        <if test="name != null">name = #{name},</if>
        <if test="gender != null">gender = #{gender},</if>
        <if test="image != null">image = #{image},</if>
        <if test="job != null">job = #{job},</if>
        <if test="entrydate != null">entrydate = #{entrydate},</if>
        <if test="deptId != null">dept_id = #{deptId},</if>
        <if test="updateTime != null">update_time = #{updateTime}</if>
        </set>
        where id = #{id}

<foreach>

• <foreach> 标签: 遍历元素, 用于一些批量操作, 例如批量删除

  
  

    <delete id="delete">
        delete from emp where id in
        <foreach collection="ids" item = "id" separator="," open="(" close=")">
            #{id}
        </foreach>
    </delete>

上述代码所生成的SQL语句如下:

<sql>&<include>

• <sql> 标签: 定义可以重复使用的SQL代码片段, 需要确定唯一属性id
• <include> 标签: 通过属性refid, 指定调用属性id的sql片段

    <sql id="abc">  <!--抽取的代码-->
        select id, username, password, name, gender, image, job, entrydate, dept_id, create_time, update_time
        from emp
    </sql>

    <include refid="abc"/>   <!--调用id为abc的sql片段, 且自闭和-->