[MyBatis] #{} 와 ${} 개념과 차이점
궁금은 했지만 알아보기 귀찮은 #{} 와 ${} 개념과 차이점을 아주 명확하고 확실하게 알아보도록 하겠습니다.
먼저 PreparedStatement 와 Statement를 알아야 한다.
간단하게 할게요;; 간 단 하 게
PreparedStatement
String sqlstr = "SELECT name, memo FROM TABLE WHERE num = ? "
PreparedStatement stmt = conn.prepareStatement(sqlstr);
pstmt.setInt(1, num);
ResultSet rst = pstmt.executeQuerey();
메모리에 올라가게 되므로 동일한 쿼리의 경우 , 매번 컴파일 되지 않아도 된다는 이점 성능 ↑
Statement
String sqlstr = "SELECT name, memo FROM TABLE WHERE num = " + num
Statement stmt = conn.credateStatement();
ResultSet rst = stmt.executeQuerey(sqlstr);
executeQuerey() 할 때 마다 매번 컴파일함 성능 ↓
주인공 아니니까 여기까지 더 자세한건 검색~
#{}
사용 과정
1.#{} 사용시 PreparedStatement 생성
2.PreparedStatement 매개 변수 값 안전하게 설정
3. PreparedStatement 가 제공하는 set 계열의 메소드를 사용하여 물음표(?)를 대체할 값을 지정.
4.들어오는 데이터 문자열로 인식하기 때문에 자동 따옴표 붙음
들어오는 데이터 문자열로 인식하기 때문에 자동 따옴표 붙음
들어오는 데이터 문자열로 인식하기 때문에 자동 따옴표 붙음
사용 이유
안전하고 빠르기 떄문에 선호
왜 빠를까??
Prepared (준비)
여기서 말하는 준비는 컴파일(Parsing) 을 이야기하며, 컴파일이 미리 되어있는 녀석이기에 Statement 에 비해 성능상 이점
문법
SELECT count(*) FROM
ExUSER_TB
WHERE USER_ID = #{id} AND USER_PW = #{pw}
SELECT count(*) FROM ExUSER_TB
WHERE
USER_ID = ? AND USER_PW = ?
${}
사용 과정
1.${} 사용시 Statement 생성
2.Statement 매개변수 값 그대로 전달
그 대 로
그 대 로
3.전달 하기 떄문에 문자열에 따옴표가 붙지 않는다.
예) select * from Extable where Statementparameter = 홍길동
4.테이블 컬럼 타입이 varchar여도 숫자 그대로 들어가기 떄문에
예) select * from Extable where Statementparameter(varchar 타입) = 1
사용 이유
다른 이유도 있겠지만 가장 큰 이유는 이거인거 같다.
바로 ORDER BY 함수를 사용할 때 오히려 자동 따옴표가 붙으면
함수가 안먹기 때문에 ${}를 써야한다.
문법
SELECT count(*) FROM
ExUSER_TB
WHERE USER_ID = "${id}" AND USER_PW = "${pw}"
ORDER BY $ {columnName}
굳 이 사 용 하 려 면 이 렇 게
굳이
굳이!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
단점
SQL Injection 같은 문제에 취약하다. 왜냐하면 문자열을 직접 삽입하기 때문이다.
*SQL Injection : 나쁜놈들이 DB 옆구리 찌르는 기술.
정리
1.#{} 자동으로 값에 따옴표가 붙고 성능 좋음
2.${} 값 그대로 전달 따옴표 안붙음 성능 좋지 않음 보안 취약
3.ORDER BY 아니면 #{} 쓰기.
'Spring > MyBatis' 카테고리의 다른 글
[MyBatis] 동적 쿼리 foreach문 문법 총 정리 (6) | 2020.03.28 |
---|---|
[MyBatis] CDATA 사용하기(feat.<> 괄호,특수문자 문자열로 인식하기) (0) | 2019.12.10 |
[MyBatis] resultType에 넣을 수 있는 값 정리 (6) | 2019.11.07 |
[MyBatis] 동적 쿼리 if문 문법 총 정리 (5) | 2019.11.04 |
[MyBatis] 관련 오류(예외)시 꼭! 확인해야 될 사항 (0) | 2019.11.01 |