MyBatis 支持预编译吗? 怎么做?
MyBatis 内部实际上是使用了 JDBC 的预处理语句(PreparedStatement),这是一种预编译的 SQL 语句。预处理语句有很多好处,比如性能提升,因为 SQL 语句在编译时就已经编译了一次,之后就可以重用;同时还有安全性的提升,因为它可以有效地防止 SQL 注入攻击。
在 MyBatis 中,所有的 SQL 语句默认就是预编译的。MyBatis 使用占位符(如#{param})来代替 SQL 语句中的参数。当 SQL 语句被执行时,MyBatis 会为这些占位符设置相应的参数值。这其实就是在使用 JDBC 的 PreparedStatement,占位符会被实际的参数值替换,但是在 SQL 语句被发送到数据库之前,这个过程是安全的,因为参数值不会被解释为 SQL 代码。
下面是一个 MyBatis 的 XML 映射文件中的插入操作示例:
<insert id="insertUser" parameterType="User">
INSERT INTO users (username, password, email)
VALUES (#{username}, #{password}, #{email})
</insert>
在这个例子中,#{username}, #{password}, 和 #{email} 都是参数占位符。当这个插入操作被执行时,MyBatis 会创建一个 PreparedStatement,这些占位符会被相应的用户对象的属性值所替代。因此,MyBatis 默认支持 SQL 语句的预编译。