css的ibatis学习笔记--sql替换

ibatis拥抱sql,在其sqlmapping中有各种sql的定义,定义中有#,$等占位符。那么ibatis是在哪里处理这些语句的呢?

每条定义(statement)对应一个MappedStatement, 来看MappedStatement的源代码。以queryForList为例:

在sqlMapExecutorDelegation中调用
ms.executeQueryForList(statementScope,xxx)得到结果list。

MappedStatement中executeQueryWithCallback(StatementScope,xxx)。其中有
sqlExecuteQuery(statementScope, conn, sqlString, parameters, skipResults, maxResults, callback);

可以看到这里已经生成了sqlString,这就是最终传递给数据库的sql语句。

怎么来的?往前看。
String sqlString = sql.getSql(statementScope, parameterObject);

sql是一个接口,有四个实现,以DynamicSql为例:
在getSql中调用process处理sql,并将参数解析出来放进statementScope里作为preparedStatement的参数。其中processBodyChildren()处理#,$符号,之后还有$的话再新建SimpleDynamicSql进行简单的文本替换。RawSql最简单它保存的是最原始的不需要替换的sql.

后记:
ibatis处理sql的过程:(SimpleDynamicSql)
1,在xml解析阶段就已经把#name#替换成了?。相关源码:MappedStatementConfig.applyInlineParameterMap()
2,在运行阶段完成$的简单文本替换。相关源码:SimpleDynamicSql.processDynamicElements()
dynamicSql的#变量也会在运行期间动态进行解析。

从使用的角度只要记住,#是preparedStatement的参数,$是简单文本替换。因此用$可能会导致sql注入如查询名字不填css而填' or 1=1 or ''='将会得到所有用户列表。

你可能感兴趣的:(java,ibatis)