- 1Bilstm双向长短期神经网络多输入单输出回归分析
- 2Python实现植物大战僵尸_做基于python植物大战僵尸思路
- 3小甲鱼Python3 分支循环
- 4【计算机网络】 0、各网络命令 + tcpdump + Wireshark、抓包实战、TCP 握手挥手、防火墙、保活、MTU_wireshark tcpdump动态实时抓包
- 5数字孪生智慧校园三维可视化运维检测平台_智慧校园运营监测平台
- 6【读书笔记】商业自传-PayPal程序员-硅谷钢铁侠-埃隆·马斯克,SpaceX CEO、特斯拉公司CEO、太阳城公司董事会主席。_霍尔曼 spacex 车阀门
- 7区块链的层级结构_区块链技术的体系结构,区块链一般分为几层,每层的主要功能是什么?
- 8【MongoDB】windows安装MongoDB6.0.5+可视化界面软件_mongodb图形化界面
- 9Mac上如何装Nacos?_mac 安装nacos
- 10三级分销这种,多层关系的会员锁定代码
mysql预编译
赞
踩
目录
问题1:为什么要用PreparedStatement进行操作数据库
背景
最近在看mybatis源码,其底层都是用的PreparedStatement进行操作数据库。所以问了自己几个问题,发现不太明了,在网上搜了很多也没有具体的说明。最后跟源码把疑惑整明白了。
问题与答案
问题1:为什么要用PreparedStatement进行操作数据库
答:因为PreparedStatement预编译可以防止SQL注入。
以上答案是错误的。PreparedStatement的防止SQL注入是因为对传递的参数中的特殊字符进行转义,并在参数的前后加上单引号,把整体作为一个字符串,然后和PreparedStatement中SQL中的?进行替换,构成的新SQL就完全没有注入风险了。所以防止SQL注入与预编译没关系。代码在com.mysql.cj.ClientPreparedQueryBindings#setString
问题2:什么是预编译
答:在mysql执行SQL之前,需要进行验证、解析等操作,把这部分能在SQL执行之前提前做内容做了,叫做预编译或准备操作。这部分和参数关系不大,也就是说参数是?也没太大关系。所以能进行预编译
问题3:预编译是在哪里进行的
答:是在服务端,只有mysql服务端才能进行预编译。但是mysql的驱动程序默认是不开启预编译的。开启需要useServerPrepStmts=true 参数。有些博文说有服务端和客户端预编译两种,其实只有一种,客户端根本就没有预编译功能。
其他
2、从源码来看,在开启服务端预编译的情况下,会先把需要预编译的SQL发送给服务端,编译完成后会返回编译id,然后再把参数和id发给服务端,进行执行。这里进行了两次交互。如果在开启了服务端缓存,则驱动程序会把编译id和SQL模板缓存起来,再有执行时直接通过模板找到id,连带参数一起发送给服务器。
参考预编译语句(Prepared Statements)介绍,以MySQL为例
https://www.cnblogs.com/micrari/p/7112781.html
