Mybatis #과 $의 차이

PrepareStatment(#)와 Statment($)를 정확히 모르고 사용하시는 분들이 있어 정리해봤습니다.

 - 간혹 Statment를 숫자일때 사용한다.. 라고 생각하시는 분들고 계시고 정확한 의미를 모르는 분들이 계십니다.  정리된 내용 보시기 바랍니다.


1. #의 사용 (PrepareStatment)

 - #을 사용할 경우 오라클의 PreparedStatment를 사용하게 된다.


  예제(name=John)

   a. mybatis mapper

      SELECT NAME FROM TEST WHERE NAME=#{name}

   b. 오라클에서 받은 쿼리

      SELECT NAME FROM TEST WHERE NAME = ?


실제 수행 쿼리

SELECT NAME FROM TEST WHERE NAME='John'


2. $의 사용(Statment)

 - $는 간단히 스트링 자체를 변환(REPLACE)해 버린다


  예제(score=99)

   a. mybatis mapper 

      SELECT NAME FROM TEST WHERE SCORE=${score}

   b. 오라클에서 받은 쿼리 

      SELECT NAME FROM TEST WHERE SCORE=99


실제 수행 쿼리

SELECT NAME FROM TEST WHERE NAME=99


3. 차이

두 가지가 똑같아 보이지만 붉게 처리된 부분을 볼 경우 1번은 오라클에서 변수를 바인드 처리 하기 때문에

NAME 값이 달라질 경우 같은 쿼리로 인식하게 됩니다.

(반드시는 아니지만 일반적으로 오라클의 쿼리 파싱, 캐시 등의 이점으로 CPU 및 수행 속도 차이가 나게 됩니다)


2번의 경우 b부분을 봤을때 쿼리 자체가 변경되어 들어가기 때문에 SCORE가 다른값이 올 경우

오라클은 이를 완전 다른 쿼리로 인식하기 때문에 새로 파싱 등의 작업을 하게 되고 속도가 느려질 우려가 있습니다.


그럼 Statment의 경우 어떻때 쓰는게 좋을까요?


SELECT ${column_name} FROM SCORE


위 쿼리같이 Bind를 할수 없는 경우 Statment를 사용하게 됩니다.

하지만 문자열 자체가 변형되기 때문에 보안상 취약할 수 있습니다.


예를 들면 아래와 같은 경우입니다.

user를 'admin'--로 세팅, password='aaa'

SELECT * FROM USER WHERE ID=${user} AND PASSWORD=${password}

실제 수행 쿼리

SELECT * FROM USER WHERE ID='admin'-- AND PASSWORD='aaa'


녹색 부분이 주석처리되어 admin으로 접속이 가능하게 되었습니다.


'개발 > DB' 카테고리의 다른 글

Mybatis #과 $의 차이  (1) 2014.11.10
몽고DB 설치  (0) 2014.01.22
테이블 정보(컬럼 정보, 코멘트 등등)  (0) 2013.11.11
테이블 사이즈 구하기(컬럼 길이, 컬럼 길이 평균)  (0) 2013.03.12
[ORACLE] 달력  (0) 2012.09.14
[ORACLE] 디비 락 해제  (0) 2012.01.09
1  Comments,   0  Trackbacks
  • 행인
    안녕하세요 글 잘봐습니다 좋은 글 감사합니다~ 다만 글에 약간 오해의 소지가 있을 수 있어 글남겨요~ Java가 오라클은 맞습니다만, 잘 모르시는 분이 보시면 잘 이해를 못하실 것 같아요. java.sql 페키지의 PreparedStatement 객체(인터페이스)를 사용하고, 이 PreparedStatement는 MyBatis 없이 Java Servlet을 통해 웹개발을 할 때 SQL문을 만드는 객체입니다. 바인드 변수는 맨 처음 SQL문을 하드파싱하고, 실행계획 생성하고, 캐싱을합니다. 이 캐싱 된것을 반복적으로 재사용할 수 있어 좋습니다. 바인드 변수를 사용할 때 단점이 같은 조건이라도 다른 실행계획(예를 들어 조건에 따라 인덱스 스캔 또는 풀테이블 스캔이 유리함의 유동치)일 때 불리합니다.
댓글 쓰기