Mybatis(Day 18)
[*]数据持久化是将内存中的数据模型转换为存储模型,以及将存储模型转换为内存中数据模型的统称。
[*]MyBatis 支持定制化 SQL、存储过程以及高级映射,可以在实体类和 SQL 语句之间创建映射关系,是一种半自动化的 ORM 实现。
[*]ORM(Object Relational Mapping,对象关系映射)是一种数据持久化技术,它在对象模型和关系型数据库之间创建起对应关系,并且提供了一种机制,通过 JavaBean 对象去操纵数据库表中的数据。
[*]ORM通过将对象模型与关系数据库的表进行映射,大大简化了数据库操纵,使代码更具可读性、易维护性。
[*] 一、#与$ 区别 :${}拼接字符串 #{} 预编译,有用防止SQL注入
[*] 利用发起:
[*]只管利用#{}:因为它会预编译,能够有用防止SQL注入,并且能够自动进行类型转换。
[*]制止直接利用${}进行不可信数据:除非你非常确定传入的参数是安全的,不会引起SQL注入。通常,只在须要动态天生SQL语法元素(如表名、列名)时利用 ${}。
https://i-blog.csdnimg.cn/direct/d483050f42e044ceb53d6c5253bec930.png
二、防止SQL注入:
预编译-将SQL语句的语义确定, 之后无论转达任何的参数都不会改变SQL语句语义, 可以有用防止SQL注入,也可以有用加速批处理的服从
三、三种接收数据方式:
在利用MyBatis进行数据库操纵时,接收和转达数据的方法须要谨慎选择,以确保安全性和可维护性。接收数据的方式主要有三种:通过Mapper直接接收,通过简朴的字符串转达,以及通过封装类转达。
1.Mapper直接接收参数(不保举)
Mapper直接接收参数固然简朴,但是存在潜伏的安全隐患,特别是当转达参数直接拼接到SQL语句中的时候,会导致SQL注入
缺点:
[*]容易引起SQL注入。
[*]代码维护性差,特别是当参数增多时
2. 通过简朴字符串转达参数(不保举)
将参数拼接成字符串转达,固然能够制止一些简朴场景下的拼接问题,但假如参数目较多或者包罗特别字符,就不太适用了
[*] 缺点:
[*]当参数较多时,字符串拼接会变得不堪重负。
[*]维护和阅读性差。
3. 封装类接收参数(保举)--有用防止SQL注入
通过利用封装类(POJO,Plain Old Java Object),可以将多个参数封装到一个对象中转达。这种方法不仅能提高代码的可读性和可维护性,还能有用防止SQL注入。
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]