궁금은 했지만 알아보기 귀찮은 #{} 와 ${} 개념과 차이점을 아주 명확하고 확실하게 알아보도록 하겠습니다.

먼저 PreparedStatement 와 Statement를 알아야 한다.

간단하게 할게요;; 간 단 하 게

PreparedStatement

String sqlstr = "SELECT name, memo FROM TABLE WHERE num = ? " 
PreparedStatement stmt = conn.prepareStatement(sqlstr); 
pstmt.setInt(1, num);
ResultSet rst = pstmt.executeQuerey(); 

메모리에 올라가게 되므로 동일한 쿼리의 경우 , 매번 컴파일 되지 않아도 된다는 이점 성능 ↑

Statement

String sqlstr = "SELECT name, memo FROM TABLE WHERE num = " + num 
Statement stmt = conn.credateStatement(); 
ResultSet rst = stmt.executeQuerey(sqlstr); 

executeQuerey() 할 때 마다 매번 컴파일함 성능 ↓

주인공 아니니까 여기까지 더 자세한건 검색~

#{}

사용 과정

1.#{} 사용시 PreparedStatement 생성

2.PreparedStatement 매개 변수 값 안전하게 설정

3. PreparedStatement 가 제공하는 set 계열의 메소드를 사용하여 물음표(?)를 대체할 값을 지정.

4.들어오는 데이터 문자열로 인식하기 때문에 자동 따옴표 붙음

들어오는 데이터 문자열로 인식하기 때문에 자동 따옴표 붙음

들어오는 데이터 문자열로 인식하기 때문에 자동 따옴표 붙음

사용 이유

안전하고 빠르기 떄문에 선호

왜 빠를까??

Prepared (준비)

여기서 말하는 준비는 컴파일(Parsing) 을 이야기하며, 컴파일이 미리 되어있는 녀석이기에 Statement 에 비해 성능상 이점

문법

SELECT count(*) FROM 
ExUSER_TB
WHERE USER_ID = #{id} AND USER_PW = #{pw}

SELECT count(*) FROM ExUSER_TB 
WHERE 
USER_ID = ? AND USER_PW = ?

${}

사용 과정

1.${} 사용시 Statement 생성

2.Statement 매개변수 값 그대로 전달

그 대 로

그 대 로

3.전달 하기 떄문에 문자열에 따옴표가 붙지 않는다.

예) select * from Extable where Statementparameter = 홍길동

4.테이블 컬럼 타입이 varchar여도 숫자 그대로 들어가기 떄문에

예) select * from Extable where Statementparameter(varchar 타입) = 1

사용 이유

다른 이유도 있겠지만 가장 큰 이유는 이거인거 같다.

바로 ORDER BY 함수를 사용할 때 오히려 자동 따옴표가 붙으면

함수가 안먹기 때문에 ${}를 써야한다.

문법

SELECT count(*) FROM 
ExUSER_TB 
WHERE USER_ID = "${id}" AND USER_PW = "${pw}"

ORDER BY $ {columnName}

굳 이 사 용 하 려 면 이 렇 게

굳이

굳이!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

단점

SQL Injection 같은 문제에 취약하다. 왜냐하면 문자열을 직접 삽입하기 때문이다.

*SQL Injection : 나쁜놈들이 DB 옆구리 찌르는 기술.

정리

1.#{} 자동으로 값에 따옴표가 붙고 성능 좋음

2.${} 값 그대로 전달 따옴표 안붙음 성능 좋지 않음 보안 취약

3.ORDER BY 아니면 #{} 쓰기.

오키에 어떤 멋진 선배님이 덧글로 남긴 거 퍼옵니다. 

이 사항들만 잘 지켜도 오류(예외) 해결 됩니다.

하나하나 다시 되돌아보시기 바랍니다.

1. 에러 출력되는 부분은 없습니까?

2. 디비 설정이 디비명, 테이블명 칼럼명 등 대소문자 구분합니까?

  - 디비 설정에서 리눅스 혹은 다른 OS 마다 설정이 다를 수 있습니다.

3. 파라미터 타입이 Object 인지 String인지 Integer HashMap 등 적절하게 작성되어있습니까?

  - 잘 맵핑되지 않아서 로그 출력상에는 정상적이지만 mybatis 딴에는 문제가 있을 수 있습니다.

4. 파라메타 변수가 ${}와 #{}를 적절히 사용하셨습니까?

5. 마이 바티스 설정 시 드라이버나 파라미터 값은 정상적이게 기입되어있습니까?

  - MySQL / MariaDB 등 호환은 되지만 가끔 의문의 오류가 있을 때가 있습니다.

  - UTF-8 등 세팅을 정상적으로 하지 않으면 오류가 있을 수 있습니다.

6. 칼럼 타입은 문제가 없습니까?

7. 서버와 로컬 MySQL 버전이 틀리지는 않습니까?

  - 버전별로 쿼리문에 변화가 약간 있어야 합니다.(ex : inet6 같은 함수가 지원되는지 안되는지 등)