❝個人感覺,這部分原始碼的重要基礎之一就是反射,不過這裡就不貼原始碼,好好學習Java的反射吧。
❞
大綱圖
什麼是資料持久化?
資料持久化是將「記憶體」中的「資料」模型轉換為「儲存」模型,以及將儲存模型轉換為記憶體中的資料模型的統稱。例如,檔案的儲存、資料的讀取等都是資料持久化操作。資料模型可以是任何「資料結構或物件的模型、XML、二進位制流」等。 當我們編寫應用程式運算元據庫,對錶資料進行「增刪改查」的操作的時候就是資料持久化的操作。
Mybatis框架簡介
「MyBatis框架是一個開源的資料持久層框架。」 「它的內部封裝了通過JDBC訪問資料庫的操作,支援普通的SQL查詢、儲存過程和高階對映,幾乎消除了所有的JDBC程式碼和引數的手工設定以及結果集的檢索。」 「MyBatis作為持久層框架,其主要思想是將程式中的大量SQL語句剝離出來,配置在配置檔案當中,實現SQL的靈活配置。」 「這樣做的好處是將SQL與程式程式碼分離,可以在不修改程式碼的情況下,直接在配置檔案當中修改SQL。」
什麼是ORM?
ORM(Object/Relational Mapping)即「物件關係對映」,是一種資料持久化技術。它在「物件模型和關係型資料庫直接建立起對應關係」,並且提供一種機制,「通過JavaBean物件去運算元據庫表的資料」。 MyBatis通過簡單的「XML」或者「註解」的方式進行配置和原始對映,將實體類和SQL語句之間建立對映關係,是一種「半自動」(之所以說是半自動,因為我們要自己寫SQL)的ORM實現。
MyBatis框架的優缺點及其適用的場合
優點
與JDBC相比,減少了50%以上的程式碼量。 MyBatis是易學的持久層框架,小巧並且簡單易學。 MyBatis相當靈活,不會對應用程式或者資料庫的現有設計強加任何影響,SQL寫在XML檔案裡,從程式程式碼中徹底分離,降低耦合度,便於統一的管理和優化,並可重用。 提供XML標籤,支援編寫動態的SQL,滿足不同的業務需求。 提供對映標籤,支援物件與資料庫的ORM欄位關係對映。
缺點
SQL語句的編寫工作量較大,對開發人員編寫SQL的能力有一定的要求。 SQL語句依賴於資料庫,導致資料庫不具有好的移植性,不可以隨便更換資料庫。
適用場景
MyBatis專注於SQL自身,是一個足夠靈活的DAO層解決方案。對效能的要求很高,或者需求變化較多的專案,例如Web專案,那麼MyBatis是不二的選擇。
MyBatis與Hibernate有哪些不同?
Mybatis和hibernate不同,它不完全是一個ORM框架,因為MyBatis需要程式設計師自己編寫Sql語句。 Mybatis直接編寫原生態sql,可以嚴格控制sql執行效能,靈活度高,非常適合對關係資料模型要求不高的軟體開發,因為這類軟體需求變化頻繁,一但需求變化要求迅速輸出成果。但是靈活的前提是mybatis無法做到資料庫無關性,如果需要實現支援多種資料庫的軟體,則需要自定義多套sql對映檔案,工作量大。 Hibernate物件/關係對映能力強,資料庫無關性好,對於關係模型要求高的軟體,如果用hibernate開發可以節省很多程式碼,提高效率。
#{}和${}的區別是什麼?
#{}是預編譯處理,${}是字串替換。Mybatis在處理 #{}時,會將sql中的#{}替換為?號,呼叫PreparedStatement的set方法來賦值;Mybatis在處理 ${}時,就是把${}替換成變數的值。使用 #{}可以有效的防止SQL隱碼攻擊,提高系統安全性。
當實體類中的屬性名和表中的欄位名不一樣,怎麼辦?
第1種: 通過在查詢的sql語句中定義欄位名的別名,讓欄位名的別名和實體類的屬性名一致。 第2種: 通過 <resultMap>來對映欄位名和實體類屬性名的一一對應的關係。
模糊查詢like語句該怎麼寫?
第1種:在Java程式碼中新增sql萬用字元。 第2種:在sql語句中拼接萬用字元,會引起sql注入
Dao介面的工作原理是什麼?Dao介面裡的方法,引數不同時,方法能過載嗎?
Dao介面即「Mapper介面」。介面的「全限名」,就是對映檔案中的「namespace的值」;介面的「方法名」,就是對映檔案中「Mapper的Statement的id值」;介面方法內的引數,就是傳遞給sql的引數。
Mapper介面是沒有實現類的,當呼叫介面方法時,「介面全限名+方法名拼接字串作為key值」,「可唯一定位一個MapperStatement」。在Mybatis中每<select>、<insert>、<update>、<delete>標籤,都會被解析為一個MapperStatement物件。
Mapper介面裡的方法,是「不能過載」的,因為是使用 全限名+方法名 的儲存和尋找策略。「Mapper 介面的工作原理是JDK動態代理」,Mybatis執行時會使用JDK動態代理為Mapper介面生成代理物件proxy,代理物件會攔截介面方法,轉而執行MapperStatement所代表的sql,然後將sql執行結果返回。
Mybatis是如何進行分頁的?分頁外掛的原理是什麼?
Mybatis使用「RowBounds」物件進行分頁,它是針對ResultSet結果集執行的記憶體分頁,而非物理分頁。可以在sql內直接書寫帶有物理分頁的引數來完成物理分頁功能,也可以使用分頁外掛來完成物理分頁。 分頁外掛的基本原理是使用「Mybatis提供的外掛介面」,實現自定義外掛,在外掛的「攔截方法內攔截待執行的sql」,然後重寫sql,根據「dialect」方言,新增對應的「物理分頁語句和物理分頁」引數。
Mybatis是如何將sql執行結果封裝為目標物件並返回的?都有哪些對映形式?
第一種是使用 <resultMap>標籤,逐一定義資料庫列名和物件屬性名之間的對映關係。第二種是使用sql列的別名功能,將列的別名書寫為物件屬性名。
有了列名與屬性名的對映關係後,Mybatis通過「反射建立物件」,同時使用「反射給物件的屬性逐一賦值並返回」,那些找不到對映關係的屬性,是無法完成賦值的。
Mybatis動態sql有什麼用?執行原理?有哪些動態sql?
Mybatis動態sql可以在Xml對映檔案內,以標籤的形式編寫動態sql,執行原理是「根據表示式的值完成邏輯判斷並動態拼接sql」的功能。
Mybatis的Xml對映檔案中,不同的Xml對映檔案,id是否可以重複?
不同的Xml對映檔案,如果配置了namespace,那麼id可以重複;如果沒有配置namespace,那麼id不能重複; 原因就是namespace+id是作為Map <String,MapperStatement> 的key使用的,如果沒有namespace,就剩下id,那麼,id重複會導致資料互相覆蓋。有了namespace,自然id就可以重複,namespace不同,namespace+id自然也就不同。
為什麼說Mybatis是半自動ORM對映工具?它與全自動的區別在哪裡?
Hibernate屬於「全自動ORM對映工具」,使用Hibernate查詢關聯物件或者關聯集合物件時,可以根據物件關係模型直接獲取,所以它是全自動的。而Mybatis在查詢關聯物件或關聯集合物件時,需要「手動編寫sql來完成」,所以,稱之為「半自動ORM對映工具」。
MyBatis實現一對一有幾種方式?具體怎麼操作的?
有聯合查詢和巢狀查詢,聯合查詢是幾個表聯合查詢,只查詢一次, 通過在resultMap裡面配置association節點配置一對一的類就可以完成; 巢狀查詢是先查一個表,根據這個表裡面的結果的 外來鍵id,去再另外一個表裡面查詢資料,也是通過association配置,但另外一個表的查詢通過select屬性配置。
MyBatis實現一對多有幾種方式,怎麼操作的?
有聯合查詢和巢狀查詢。聯合查詢是幾個表聯合查詢,只查詢一次,通過在resultMap裡面的collection節點配置一對多的類就可以完成;巢狀查詢是先查一個表,根據這個表裡面的 結果的外來鍵id,去再另外一個表裡面查詢資料,也是通過配置collection,但另外一個表的查詢通過select節點配置。
Mybatis是否支援延遲載入?如果支援,它的實現原理是什麼?
Mybatis僅支援association關聯物件和collection關聯集合物件的延遲載入,association指的就是一對一,collection指的就是一對多查詢。在Mybatis配置檔案中,可以配置是否啟用延遲載入lazyLoadingEnabled=true|false。 它的原理是,使用「CGLIB建立目標物件的代理物件」,當呼叫目標方法時,進入攔截器方法,比如呼叫a.getB().getName(),攔截器invoke()方法發現a.getB()是null值,那麼就會「單獨傳送事先儲存好的查詢關聯B物件的sql」,「把B查詢上來」,「然後呼叫a.setB(b)」,於是a的物件b屬性就有值了,接著完成a.getB().getName()方法的呼叫。
Mybatis的一級、二級快取
一級快取: 基於 PerpetualCache 的 HashMap 本地快取,其儲存作用域為 Session,當 Session flush 或 close 之後,該 Session 中的所有 Cache 就將清空,預設開啟一級快取。 二級快取與一級快取其機制相同,預設也是採用 PerpetualCache,HashMap 儲存,不同在於其儲存作用域為 Mapper(Namespace),並且可自定義儲存源,如 Ehcache。預設不開啟二級快取,要開啟二級快取,使用二級快取屬性類需要實現Serializable序列化介面(可用來儲存物件的狀態),可在它的對映檔案中配置 ; 對於快取資料更新機制,當某一個作用域(一級快取 Session/二級快取Namespaces)的進行了C/U/D 操作後,預設該作用域下所有 select 中的快取將被 clear。
什麼是MyBatis的介面繫結?有哪些實現方式?
介面繫結,就是在MyBatis中任意定義介面,然後把介面裡面的方法和SQL語句繫結, 我們直接呼叫介面方法就可以,這樣比起原來了SqlSession提供的方法我們可以有更加靈活的選擇和設定。 介面繫結有兩種實現方式:
註解繫結,就是在介面的方法上面加上 @Select、@Update等註解,裡面包含Sql語句來繫結; 外一種就是通過xml裡面寫SQL來繫結, 在這種情況下,要指定xml對映檔案裡面的namespace必須為介面的全路徑名。當Sql語句比較簡單時候,用註解繫結, 當SQL語句比較複雜時候,用xml繫結,一般用xml繫結的比較多。
使用MyBatis的mapper介面呼叫時有哪些要求?
Mapper介面方法名和mapper.xml中定義的每個sql的id相同; Mapper介面方法的輸入引數型別和mapper.xml中定義的每個sql 的parameterType的型別相同; Mapper介面方法的輸出引數型別和mapper.xml中定義的每個sql的resultType的型別相同; Mapper.xml檔案中的namespace即是mapper介面的類路徑。
mybatis是如何防止SQL隱碼攻擊的?
「首先看一下下面兩個sql語句的區別:」
<select id="selectByNameAndPassword" parameterType="java.util.Map" resultMap="BaseResultMap">
select id, username, password, role
from user
where username = #{username,jdbcType=VARCHAR}
and password = #{password,jdbcType=VARCHAR}
</select>
複製程式碼<select id="selectByNameAndPassword" parameterType="java.util.Map" resultMap="BaseResultMap">
select id, username, password, role
from user
where username = ${username,jdbcType=VARCHAR}
and password = ${password,jdbcType=VARCHAR}
</select>
複製程式碼「mybatis中的#和$的區別:」
#將傳入的資料都當成一個字串,會對自動傳入的資料加一個雙引號。 如:where username=#{username},如果傳入的值是111,那麼解析成sql時的值為where username="111", 如果傳入的值是id,則解析成的sql為where username="id".$將傳入的資料直接顯示生成在sql中。如:where username=${username},如果傳入的值是111,那麼解析成sql時的值為where username=111;如果傳入的值是:drop table user;,則解析成的sql為:select id, username, password, role from user where username=;drop table user;#方式能夠很大程度防止sql注入,$方式無法防止Sql注入。$方式一般用於傳入資料庫物件,例如傳入表名.一般能用 #的就別用$,若不得不使用“${xxx}”這樣的引數,要手工地做好過濾工作,來防止sql注入攻擊。在MyBatis中, “${xxx}”這樣格式的引數會直接參與SQL編譯,從而不能避免注入攻擊。但涉及到動態表名和列名時,只能使用“${xxx}”這樣的引數格式。所以,這樣的引數需要我們在程式碼中手工進行處理來防止注入。
「sql注入」:
「SQL隱碼攻擊」,大家都不陌生,是一種常見的攻擊方式。「攻擊者」在介面的表單資訊或URL上輸入一些奇怪的SQL片段(例如“or ‘1’=’1’”這樣的語句),有可能入侵「引數檢驗不足」的應用程式。所以,在我們的應用中需要做一些工作,來防備這樣的攻擊方式。在一些安全性要求很高的應用中(比如銀行軟體),經常使用將「SQL語句」全部替換為「儲存過程」這樣的方式,來防止SQL隱碼攻擊。這當然是「一種很安全的方式」,但我們平時開發中,可能不需要這種死板的方式。
「mybatis是如何做到防止sql注入的」
MyBatis框架作為一款半自動化的持久層框架,其SQL語句都要我們自己手動編寫,這個時候當然需要防止SQL隱碼攻擊。其實,MyBatis的SQL是一個具有“「輸入+輸出」”的功能,類似於函式的結構,參考上面的兩個例子。其中,parameterType表示了輸入的引數型別,resultType表示了輸出的引數型別。回應上文,如果我們想防止SQL隱碼攻擊,理所當然地要在輸入引數上下功夫。上面程式碼中使用#的即輸入引數在SQL中拼接的部分,傳入引數後,列印出執行的SQL語句,會看到SQL是這樣的:
select id, username, password, role from user where username=? and password=?
複製程式碼不管輸入什麼引數,列印出的SQL都是這樣的。這是因為MyBatis啟用了預編譯功能,在SQL執行前,會先將上面的SQL傳送給資料庫進行編譯;執行時,直接使用編譯好的SQL,替換佔位符“?”就可以了。因為SQL隱碼攻擊只能對編譯過程起作用,所以這樣的方式就很好地避免了SQL隱碼攻擊的問題。
[底層實現原理]MyBatis是如何做到SQL預編譯的呢?其實在框架底層,是JDBC中的PreparedStatement類在起作用,PreparedStatement是我們很熟悉的Statement的子類,它的物件包含了編譯好的SQL語句。這種“準備好”的方式不僅能提高安全性,而且在多次執行同一個SQL時,能夠提高效率。原因是SQL已編譯好,再次執行時無需再編譯。
//安全的,預編譯了的
Connection conn = getConn();//獲得連線
String sql = "select id, username, password, role from user where id=?"; //執行sql前會預編譯號該條語句
PreparedStatement pstmt = conn.prepareStatement(sql);
pstmt.setString(1, id);
ResultSet rs=pstmt.executeUpdate();
......
複製程式碼//不安全的,沒進行預編譯
private String getNameByUserId(String userId) {
Connection conn = getConn();//獲得連線
String sql = "select id,username,password,role from user where id=" + id;
//當id引數為"3;drop table user;"時,執行的sql語句如下:
//select id,username,password,role from user where id=3; drop table user;
PreparedStatement pstmt = conn.prepareStatement(sql);
ResultSet rs=pstmt.executeUpdate();
......
}
複製程式碼「結論」:
「#{}」:相當於JDBC中的PreparedStatement
「${}」:是輸出變數的值
簡單說,#{}是經過預編譯的,是安全的;${}是未經過預編譯的,僅僅是取變數的值,是非安全的,存在SQL隱碼攻擊。
❝創作不易哇,覺得有幫助的話,給個小小的star唄。github地址???
❞
本文使用 mdnice 排版