Mybatis中單雙引號(hào)引發(fā)的慘案及解決
#{}與${}的區(qū)別
#{}是預(yù)編譯處理,${}是字符串替換Mybatis在處理#{}時(shí),會(huì)將sql中的#{}替換為?號(hào), 調(diào)用PreparedStatement的set方法來(lái)賦值;
Mybatis在處理時(shí) , 就 是 把 {}時(shí),就是把時(shí),就是把{}替換成變量的值。
使用#{}可以有效的防止SQL注入,提高系統(tǒng)安全性。
再通俗的說(shuō),使用${}mybatis會(huì)把參數(shù)加上雙引號(hào),而${} 你給啥,sql語(yǔ)句中就是啥,如下示例:
select * from table where name = #{name} ?name->小明? ## 結(jié)果:select * from table where name = "小明" select * from table where name = ${name} ?name->小明? ## 結(jié)果:select * from table where name = 小明
問(wèn)題
最近有個(gè)功能需要從sqlserver中去數(shù)據(jù),有個(gè)腳本很簡(jiǎn)單如下:
select * from table where id in(...)?
id已經(jīng)創(chuàng)建索引了,考慮到數(shù)據(jù)傳輸,我每次設(shè)置的集合大小為100個(gè),因?yàn)檫@是再簡(jiǎn)單不過(guò)的語(yǔ)句了,直接上線給別人使用,但是別人的反饋是,使用50個(gè)id需要40多秒?。?! 這就有點(diǎn)嚇人了,幸好此場(chǎng)景只是在半夜定時(shí)的去使用,慢一點(diǎn)不會(huì)對(duì)第二天有影響,但是白天想要測(cè)試的時(shí)候就懵了。當(dāng)然了40多s就別提是否影響別人使用了,基本上就已經(jīng)崩潰了好不好?。?!
這就有點(diǎn)嚇人了,幸好此場(chǎng)景只是在半夜定時(shí)的去使用,慢一點(diǎn)不會(huì)對(duì)第二天有影響,但是白天想要測(cè)試的時(shí)候就懵了。當(dāng)然了40多s就別提是否影響別人使用了,基本上就已經(jīng)崩潰了好不好!?。?/p>
下面簡(jiǎn)化了一下,對(duì)應(yīng)的xml代碼如下:
<select id="selectTbdIdByLbdIdList" resultType="xxx.xxx.xxMapper"> ? ? SELECT id ,tid FROM table where id IN ? ? <foreach collection="list" item="item" open="(" close=")" separator=","> ? ? ? ? #{item} ? ? </foreach> </select>
debug 模式下的輸出如下:
| ==> Preparing: SELECT id ,tid FROM table where id IN ( ?,?,?,?,?,?...)
| ==> Parameters: 123(String),234(String),345(String),456(String),
| <== Total: ....
我把sql整理出來(lái)放在sqlserver客戶端去執(zhí)行
SELECT id ,tid FROM table where id IN ( "123","234","345"...);
剛開(kāi)始執(zhí)行報(bào)錯(cuò)了,后面把雙引號(hào)改成單引號(hào)就行了,即
SELECT id ,tid FROM table where id IN ( '123','234','345'...); 耗時(shí): 0.092s
記住這里的單雙引號(hào)的問(wèn)題
??? 很快啊,這是什么情況,第一次遇到這種情況,直接運(yùn)行sql很快,但是通過(guò)mybatis就很慢。
所以我首先懷疑是ORM框架的問(wèn)題,接著我用JDBC快速寫(xiě)了個(gè)demo,來(lái)驗(yàn)證,代碼如下:
String connectionUrl = "jdbc:sqlserver://xxx:8838;DatabaseName=xxx;user=xxx;password=xx"; Class.forName("com.microsoft.sqlserver.jdbc.SQLServerDriver"); Connection con = DriverManager.getConnection(connectionUrl); Statement stmt = con.createStatement(); String SQL = "SELECT id ,tid FROM table where id IN ( '123','234','345'...)"; long s = System.nanoTime(); ResultSet rs = stmt.executeQuery(SQL); System.out.println((System.nanoTime() - s) / 1_000_000); // Iterate through the data in the result set and display it. while (rs.next()) { ? ? System.out.println(rs.getString("id") + " ---> " + rs.getString("tid")); } // 耗時(shí)0.109ms
這里也是很快,沒(méi)什么問(wèn)題,忽略O(shè)RM的問(wèn)題。
因?yàn)槲疫@里用的是Mybatis-Plus,所以我又懷疑是mp的問(wèn)題,于是debug代碼,最后卡在這個(gè)地方:
//PreparedStatementHandler.class public <E> List<E> query(Statement statement, ResultHandler resultHandler) throws SQLException { ? ? PreparedStatement ps = (PreparedStatement) statement; ? ? ps.execute();// 卡在這一行 ? ? return resultSetHandler.handleResultSets(ps); }
但這是Mybatis的代碼,再者說(shuō)mp只是簡(jiǎn)化了代碼生成這一塊,對(duì)Mybatis本身的執(zhí)行沒(méi)有影響,所以mp也被排除!
這個(gè)時(shí)候已經(jīng)過(guò)去很長(zhǎng)時(shí)間了,整個(gè)人很懵,怎么會(huì)這樣???這么簡(jiǎn)單的sql還會(huì)出這么大的問(wèn)題!我重新理了下思緒,此處的sql是在sqlserver上執(zhí)行的,那會(huì)不會(huì)是sqlserver上的問(wèn)題呢?
我突然靈光一閃,剛剛debug出來(lái)的腳本直接放在sqlserver的客戶端上執(zhí)行的時(shí)候是有問(wèn)題的,我后面是把雙引號(hào)改成單引號(hào)才成功的,我趕緊調(diào)整了xml中的腳本,如下:
<select id="selectTbdIdByLbdIdList" resultType="xxx.xxx.xxMapper"> ? ? SELECT id ,tid FROM table where id IN ? ? <foreach collection="list" item="item" open="(" close=")" separator=","> ? ? ? ? '${item}' ? ? </foreach> </select>
然后再執(zhí)行,debug出來(lái)的腳本如下:
| ==> Preparing: SELECT id ,tid FROM table where id IN ( '123','234','345','456'...)
| ==> Parameters:
| <== Total: ....
耗時(shí): 0.100s!!!
如釋重負(fù),原來(lái)是雙引號(hào)惹的禍!
SqlServer是不支持雙引號(hào)的,但是mybatis最后生成的sql使用的雙引號(hào),當(dāng)然這對(duì)mysql是沒(méi)問(wèn)題的,當(dāng)然也有例外
如果SQL服務(wù)器模式啟用了NSI_QUOTES,可以只用單引號(hào)引用字符串。用雙引號(hào)引用的字符串被解釋為一個(gè)識(shí)別符。
所以我遇到的情況是就是生成帶雙引號(hào)的腳本丟給sqlserver執(zhí)行的時(shí)候,被sql服務(wù)器誤認(rèn)為是一個(gè)識(shí)別符,類似java中類型的強(qiáng)轉(zhuǎn),此時(shí)索引是不生效的,也就是說(shuō)一開(kāi)的in查詢時(shí)沒(méi)有使用到索引的?。?!話說(shuō)那個(gè)表中有700w條記錄,怪不得每次查詢50條的時(shí)候,耗時(shí)很均勻,都在40多秒。。。。。
回到開(kāi)頭,這種情況就是借助${}來(lái)解決,當(dāng)然是用它是有隱患的,因?yàn)樗⒉荒芊乐箂ql注入,但是對(duì)于我這邊的場(chǎng)景不會(huì)出現(xiàn)這種情況,所以我趕緊的把其他地方也都改了過(guò)來(lái)?。?!
最后
解決問(wèn)題還是要大膽假設(shè),小心求證 事實(shí)的真相只有一個(gè)!?。?/p>
另外在debug的時(shí)候,順便看到了#{}和${}的拼接代碼,放在了下面
// ForEachSqlNode public void appendSql(String sql) { GenericTokenParser parser = new GenericTokenParser("#{", "}", content -> { String newContent = content.replaceFirst("^\\s*" + item + "(?![^.,:\\s])", itemizeItem(item, index)); if (itemIndex != null && newContent.equals(content)) { newContent = content.replaceFirst("^\\s*" + itemIndex + "(?![^.,:\\s])", itemizeItem(itemIndex, index)); } return "#{" + newContent + "}"; }); delegate.appendSql(parser.parse(sql)); }
// TextSqlNode private GenericTokenParser createParser(TokenHandler handler) { return new GenericTokenParser("${", "}", handler); }
// GenericTokenParser public String parse(String text) { if (text == null || text.isEmpty()) { return ""; } // search open token int start = text.indexOf(openToken); if (start == -1) { return text; } char[] src = text.toCharArray(); int offset = 0; final StringBuilder builder = new StringBuilder(); StringBuilder expression = null; while (start > -1) { if (start > 0 && src[start - 1] == '\\') { // this open token is escaped. remove the backslash and continue. builder.append(src, offset, start - offset - 1).append(openToken); offset = start + openToken.length(); } else { // found open token. let's search close token. if (expression == null) { expression = new StringBuilder(); } else { expression.setLength(0); } builder.append(src, offset, start - offset); offset = start + openToken.length(); int end = text.indexOf(closeToken, offset); while (end > -1) { if (end > offset && src[end - 1] == '\\') { // this close token is escaped. remove the backslash and continue. expression.append(src, offset, end - offset - 1).append(closeToken); offset = end + closeToken.length(); end = text.indexOf(closeToken, offset); } else { expression.append(src, offset, end - offset); offset = end + closeToken.length(); break; } } if (end == -1) { // close token was not found. builder.append(src, start, src.length - start); offset = src.length; } else { builder.append(handler.handleToken(expression.toString())); offset = end + closeToken.length(); } } start = text.indexOf(openToken, offset); } if (offset < src.length) { builder.append(src, offset, src.length - offset); } return builder.toString(); }
以上為個(gè)人經(jīng)驗(yàn),希望能給大家一個(gè)參考,也希望大家多多支持腳本之家。
相關(guān)文章
java一個(gè)數(shù)據(jù)整理的方法代碼實(shí)例
這篇文章主要介紹了java一個(gè)數(shù)據(jù)整理的方法代碼實(shí)例,文中通過(guò)示例代碼介紹的非常詳細(xì),對(duì)大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價(jià)值,需要的朋友可以參考下2019-09-09淺析java中 Spring MVC 攔截器作用及其實(shí)現(xiàn)
本篇文章主要介紹了java中SpringMVC 攔截器的使用及其實(shí)例,需要的朋友可以參考2017-04-04IDEA創(chuàng)建Java?Web項(xiàng)目的超詳細(xì)圖文教學(xué)
IDEA是程序員們常用的java集成開(kāi)發(fā)環(huán)境,也是被公認(rèn)為最好用的java開(kāi)發(fā)工具,下面這篇文章主要給大家介紹了關(guān)于IDEA創(chuàng)建Java?Web項(xiàng)目的相關(guān)資料,文中通過(guò)圖文介紹的非常詳細(xì),需要的朋友可以參考下2022-12-12SpringBoot整合RocketMQ實(shí)現(xiàn)消息發(fā)送和接收的詳細(xì)步驟
這篇文章主要介紹了SpringBoot整合RocketMQ實(shí)現(xiàn)消息發(fā)送和接收功能,我們使用主流的SpringBoot框架整合RocketMQ來(lái)講解,使用方便快捷,本文分步驟給大家介紹的非常詳細(xì),需要的朋友可以參考下2021-08-08SpringBoot異步任務(wù)實(shí)現(xiàn)下單校驗(yàn)庫(kù)存的項(xiàng)目實(shí)踐
在開(kāi)發(fā)中,異步任務(wù)應(yīng)用的場(chǎng)景非常的廣泛,本文主要介紹了SpringBoot異步任務(wù)實(shí)現(xiàn)下單校驗(yàn)庫(kù)存的項(xiàng)目實(shí)踐,具有一定的參考價(jià)值,感興趣的可以了解一下2023-09-09StringUtils工具包中字符串非空判斷isNotEmpty和isNotBlank的區(qū)別
今天小編就為大家分享一篇關(guān)于StringUtils工具包中字符串非空判斷isNotEmpty和isNotBlank的區(qū)別,小編覺(jué)得內(nèi)容挺不錯(cuò)的,現(xiàn)在分享給大家,具有很好的參考價(jià)值,需要的朋友一起跟隨小編來(lái)看看吧2018-12-12Zookeeper如何實(shí)現(xiàn)分布式服務(wù)配置中心詳解
Zookeeper在實(shí)際使用場(chǎng)景很多,比如配置中心,分布式鎖,注冊(cè)中心等,下面這篇文章主要給大家介紹了關(guān)于Zookeeper如何實(shí)現(xiàn)分布式服務(wù)配置中心的相關(guān)資料,需要的朋友可以參考下2021-11-11