MyBatis——占位符,转义字符,多元素查询(模糊查询),动态sql(多条件中多查询,多条件中单查询)

原创 已于 2023-03-06 18:28:49 修改 · 1.4k 阅读 · 1 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
标签
#mybatis #java #sql
于 2023-03-06 00:57:59 首次发布
本文围绕MyBatis展开,介绍了占位符${}和#{}的使用及区别,${}无法防止SQL注入,#{}可以。还提及转义字符及CDATA的用法,阐述多元素模糊查询的三种方法,以及动态SQL在多条件中多查询和单查询的应用及解决问题的办法。

占位符:${},#{}

${}:充当占位符时,无法防止sql注入,纯纯的外面给啥,他就往上放啥
#{}:充当…,可以防止sql注入

实体类:

package com.itjh.pojo;

public class Employee {
    String name;
    Integer age;
    String gander;

    public String getName() {
        return name;
    }

    public void setName(String name) {
        this.name = name;
    }

    public Integer getAge() {
        return age;
    }

    public void setAge(Integer age) {
        this.age = age;
    }

    public String getGander() {
        return gander;
    }

    public void setGander(String gander) {
        this.gander = gander;
    }

    @Override
    public String toString() {
        return "Employee{" +
                "name='" + name + '\'' +
                ", age=" + age +
                ", gander='" + gander + '\'' +
                '}';
    }
}

  • ${}:

Mapper文件:占位符中写上你要查询的字段名

<mapper namespace="com.itjh.mapp.EmployeeMapper">
    <select id="selectone" resultMap="employee">
        select
        *
        from farther where age = ${age}
    </select>
</mapper>

Mapper接口:在括号中定义和Mapper文件中占位符内相同的参数int age

package com.itjh.mapp;

import com.itjh.pojo.Employee;
import java.util.List;

public interface EmployeeMapper {
    List<Employee> selectone(int age);
}

测试类:在调用selectone()中加入Mapper接口需要的参数:age(测试类中先定义一个有值的age)

import com.itjh.mapp.EmployeeMapper;
import com.itjh.pojo.Employee;
import org.apache.ibatis.io.Resources;
import org.apache.ibatis.session.SqlSession;
import org.apache.ibatis.session.SqlSessionFactory;
import org.apache.ibatis.session.SqlSessionFactoryBuilder;

import java.io.IOException;
import java.io.InputStream;
import java.util.List;

public class TestEmployee {
    public static void main(String[] args) throws IOException {
        int age=29;
        String resource = "mybatis-emplyee.xml";
        InputStream inputStream = Resources.getResourceAsStream(resource);
        SqlSessionFactory sqlSessionFactory = new SqlSessionFactoryBuilder().build(inputStream);
        SqlSession sqlSession=sqlSessionFactory.openSession();
        EmployeeMapper employeeMapper=sqlSession.getMapper(EmployeeMapper.class);
        List<Employee> list=employeeMapper.selectone(age);
        System.out.println(list);
    }
}

结果中的sql语句:

 select * from farther where age = 29

这个就是用了${}占位符,他直接把29传进来了,无法防止sql注入

  • #{}:

将Mapper文件中的sql语句中的占位符写成#{}:

<mapper namespace="com.itjh.mapp.EmployeeMapper">
    <resultMap id="employee" type="com.itjh.pojo.Employee">
        <result property="iName" column="name"></result>
    </resultMap>
    <select id="selectone" resultMap="employee">
        select
        *
        from farther where age = #{age}
    </select>
</mapper>

结果:传入参数的位置变成了?,可以防止sql注入

简概:1、传递参数时:#{}
2、对表名、列名进行动态设置只可用${}

 select * from farther where age = ?

  • paremeterType:定义传参类型(图中 int 和 integer都可以)

<mapper namespace="com.itjh.mapp.EmployeeMapper">
    <resultMap id="employee" type="com.itjh.pojo.Employee">
        <result property="iName" column="name"></result>
    </resultMap>
    <select id="selectone" parameterType="integer" resultMap="employee">
        select
        *
        from farther where age = #{age}
    </select>
</mapper>

转义字符

  • 转移字符表:如:< 无法在mybatis的xml中进行正确释义,就需要别的字符来代替它,到运行的时候,便会自动转换为 <
    ![在这里插入图片描述]在这里插入图片描述

  • CDATA:<![CDATA[ 想要写的字符 ]]>:

<mapper namespace="com.itjh.mapp.EmployeeMapper">
    <resultMap id="employee" type="com.itjh.pojo.Employee">
        <result property="iName" column="name"></result>
    </resultMap>
    <select id="selectone" parameterType="integer" resultMap="employee">
        select
        *
        from farther where age
                               <![CDATA[  <  ]]>
                           #{age}
    </select>
</mapper>

多元素查询(利用模糊查询)

如下表,想要查询所有姓,性别为的人信息:只需要对性别和姓氏做手脚即可
在这里插入图片描述
Mapper配置文件:like #{参数(与Mapper接口中方法的参数保持一致)}

<mapper namespace="com.itjh.mapp.EmployeeMapper">
    <select id="selectmany" resultType="com.itjh.pojo.Employee">
        select
        *
        from farther where
        gander like#{gander}
        and name like#{name}
    </select>
</mapper>

三种方法:

Mapper配置文件不需要动,改Mapper接口和测试类即可

在这里插入图片描述

一些名称应当注意:

在这里插入图片描述

  • Mapper接口:@Param(“1”) 2 3

1:与Mapper配置文件里面模糊查询花括号中的参数一致
2:参数类型:int String …
3:与实体类中的属性一致

package com.itjh.mapp;

import com.itjh.pojo.Employee;
import org.apache.ibatis.annotations.Param;

import java.util.List;

public interface EmployeeMapper {
      List<Employee> selectmany(@Param("gander")String gander,@Param("name")String name);
}

实体类:没啥特殊的

package com.itjh.pojo;

public class Employee {
    String name;
    Integer age;
    String gander;

    public String getName() {
        return name;
    }

    public void setName(String name) {
        this.name = name;
    }

    public Integer getAge() {
        return age;
    }

    public void setAge(Integer age) {
        this.age = age;
    }

    public String getGander() {
        return gander;
    }

    public void setGander(String gander) {
        this.gander = gander;
    }

    @Override
    public String toString() {
        return "Employee{" +
                "name='" + name + '\'' +
                ", age=" + age +
                ", gander='" + gander + '\'' +
                '}';
    }
}

测试类:定义好需要的参数的值,调用Mapper接口方法时进行传参

import com.itjh.mapp.EmployeeMapper;
import com.itjh.pojo.Employee;
import org.apache.ibatis.io.Resources;
import org.apache.ibatis.session.SqlSession;
import org.apache.ibatis.session.SqlSessionFactory;
import org.apache.ibatis.session.SqlSessionFactoryBuilder;

import java.io.IOException;
import java.io.InputStream;
import java.util.List;

public class TestEmployee {
    public static void main(String[] args) throws IOException {
        String gander="男";
        gander="%"+gander+"%";
        String name="张";
        name=name+"%";
        String resource = "mybatis-emplyee.xml";
        InputStream inputStream = Resources.getResourceAsStream(resource);
        SqlSessionFactory sqlSessionFactory = new SqlSessionFactoryBuilder().build(inputStream);
        SqlSession sqlSession=sqlSessionFactory.openSession();
        EmployeeMapper employeeMapper=sqlSession.getMapper(EmployeeMapper.class);
        List<Employee> list=employeeMapper.selectmany(gander,name);
        System.out.println(list);
    }
}
  • 实体法:

Mapper接口文件修改一下:参数为一个实体对象

package com.itjh.mapp;

import com.itjh.pojo.Employee;
import java.util.List;

public interface EmployeeMapper {
      List<Employee> selectmany(Employee employee);
}

测试类:看代码上的注释,实体类的属性需要和接口的参数保持一致

import com.itjh.mapp.EmployeeMapper;
import com.itjh.pojo.Employee;
import org.apache.ibatis.io.Resources;
import org.apache.ibatis.session.SqlSession;
import org.apache.ibatis.session.SqlSessionFactory;
import org.apache.ibatis.session.SqlSessionFactoryBuilder;

import java.io.IOException;
import java.io.InputStream;
import java.util.List;

public class TestEmployee {
    public static void main(String[] args) throws IOException {
    	//接收参数
        String gande="男";
        String name="张";
        //对数据加工一下,方便以后重用给上面两行代码传参就行,不用把模糊查询写死
        gande="%"+gande+"%"
        name=name+"%";
        //创建一个实体类对象,并且将上面的数据扔进去
        Employee employee=new Employee();
        employee.setName(name);
        employee.setGander(gande);

        String resource = "mybatis-emplyee.xml";
        InputStream inputStream = Resources.getResourceAsStream(resource);
        SqlSessionFactory sqlSessionFactory = new SqlSessionFactoryBuilder().build(inputStream);
        SqlSession sqlSession=sqlSessionFactory.openSession();
        EmployeeMapper employeeMapper=sqlSession.getMapper(EmployeeMapper.class);
		//接收上面已经搞好的实体类对象,返回一个集合
        List<Employee> list=employeeMapper.selectmany(employee);
        System.out.println(list);
    }
}
  • Map法:

Mapper接口文件修改一下:参数为一个Map集合

package com.itjh.mapp;

import com.itjh.pojo.Employee;
import java.util.List;

public interface EmployeeMapper {
      List<Employee> selectmany(Employee employee);
}

测试类:重点看注释

import com.itjh.mapp.EmployeeMapper;
import com.itjh.pojo.Employee;
import org.apache.ibatis.io.Resources;
import org.apache.ibatis.session.SqlSession;
import org.apache.ibatis.session.SqlSessionFactory;
import org.apache.ibatis.session.SqlSessionFactoryBuilder;

import java.io.IOException;
import java.io.InputStream;
import java.util.HashMap;
import java.util.List;
import java.util.Map;

public class TestEmployee {
    public static void main(String[] args) throws IOException {
    	//接收参数
        String gander="男";
        String name="张";
        //对数据加工一下,方便以后重用给上面两行代码传参就行,不用把模糊查询写死
        gander="%"+gander+"%"
        name=name+"%";
        //创造一个Map集合,用来将上面的数值扔进去,put()方法的`""`中的名称需要和
        //Mapper配置文件中的模糊查询中的参数一致
        Map map=new HashMap();
        map.put("gander",gander);
        map.put("name",name);

        String resource = "mybatis-emplyee.xml";
        InputStream inputStream = Resources.getResourceAsStream(resource);
        SqlSessionFactory sqlSessionFactory = new SqlSessionFactoryBuilder().build(inputStream);
        SqlSession sqlSession=sqlSessionFactory.openSession();
        EmployeeMapper employeeMapper=sqlSession.getMapper(EmployeeMapper.class);
        //将上面的map传进来
        List<Employee> list=employeeMapper.selectmany(map);
        System.out.println(list);
    }
}

结果的一部分:

15:35:56.462 [main] DEBUG com.itjh.mapp.EmployeeMapper.selectmany - ==>  Preparing: select * from farther where gander like? and name like?
15:35:56.500 [main] DEBUG com.itjh.mapp.EmployeeMapper.selectmany - ==> Parameters: %%(String),%(String)
15:35:56.558 [main] DEBUG com.itjh.mapp.EmployeeMapper.selectmany - <==      Total: 2
[Employee{name='张飞', age=29, gander='男'}, Employee{name='张益达', age=31, gander='男'}]

动态sql(多条件中多查询):

当Mapper配置文件写了相对应的全部字段的时候,如果你只想查询一部分条件下的东西,那么你的sql语句就会有问题,结果会报错,所以可以加入判断语句:没有传进参数的部分不会执行,if标签,其中test添加判断

<mapper namespace="com.itjh.mapp.EmployeeMapper">
    <select id="selectmany" resultType="com.itjh.pojo.Employee">
        select
        *
        from farther where
        <if test="gander!=null">
            gander like#{gander}
        </if>
        <if test="name!=null">
            and name like#{name}
        </if>
        <if test="age!=age">
            and age like#{age}
        </if>

    </select>
</mapper>

缺点:如果是第一个元素没有执行,那么第二个元素就是从and 开始,即sql语句中的where之后就是and,明显错了
解决办法:1、在where之后添加1=1即可
2、将sql语句中的where换成where标签:他会帮你写1=1并且把不必要的and去掉

<mapper namespace="com.itjh.mapp.EmployeeMapper">
    <select id="selectmany" resultType="com.itjh.pojo.Employee">
        select
        *
        from farther
        <where>
        <if test="gander!=null">
            gander like#{gander}
        </if>
        <if test="name!=null">
            and name like#{name}
        </if>
        <if test="age!=age">
            and age like#{age}
        </if>
        </where>
    </select>
</mapper>

动态sql(多条件中单查询):

前端页面上给你几个选项,你在其中选一个:用choose(when,otherwise),类似于java中的switch

<mapper namespace="com.itjh.mapp.EmployeeMapper">
    <select id="selectmany" resultType="com.itjh.pojo.Employee">
        select
        *
        from farther where
        <choose>
        <when test="gander!=null and gander!=''">
            gander like#{gander}
        </when>
        <when test="name!=null and name!=''">
            name like#{name}
        </when>
        <when test="age!=null and age!=''">
            age like#{age}
        </when>
        <otherwise>
            1=1
        </otherwise>
        </choose>
    </select>
</mapper>

其中otherwise标签可以用where标签替换:

<mapper namespace="com.itjh.mapp.EmployeeMapper">
    <select id="selectmany" resultType="com.itjh.pojo.Employee">
        select
        *
        from farther
     <where>
        <choose>
        <when test="gander!=null and gander!=''">
            gander like#{gander}
        </when>
        <when test="name!=null and name!=''">
            name like#{name}
        </when>
        <when test="age!=null and age!=''">
            age like#{age}
        </when>
        </choose>
      </where>
    </select>
</mapper>
起鸣
关注
SQL语句填充占位符
04-22
动态生成SQL语句,通过给定的条件自动填充预设SQL语句的配位符,而避免通过程序判断生成SQL语句
Mybatis模糊查询——三种定义参数方法和聚合查询、主键回填
qq_53317005的博客
03-25 5017
Mybatis模糊查询——三种定义参数方法和聚合查询、主键回填
mybatis实现多条件模糊查询
qq_45947664的博客
03-08 1945
【代码】mybatis实现多条件模糊查询
使用占位符进行like模糊查询时遇到变量该怎么写sql
05-28 1794
使用预编译对象编写sql语句时,如果需要模糊查询,则很容易出现由于双引号不合适导致的异常,遇到模糊查询字符串匹配sql语句,这时应该怎么嵌套变量呢,如下: String sql = "select * from goods where name like ?"; ps = connection.prepareStatement(sql); ps.setString(1, "%匹配内容%"); 上面的代码是查询goods表中name值包含字符串“匹配内容”的记录。 当然,要模糊搜索的值可以换成变量代替,代
Oracle的动态SQL
NowOrNever
10-05 1万+
原文:http://space.itpub.net/26622598/viewspace-718134 在PLSQL中使用EXECUTE IMMEDIATE语句处理动态SQL语句。 语法如下: EXECUTE IMMEDIATE dynamic_string [INTO {define_variable[, define_variable]... | record}] [USING [I
SQL占位符?的用法介绍~
热门推荐
程序人生~
11-14 4万+
Sql语句中的占位符?有什么作用 String sql = "SELECT userid,name FROM tuser WHERE userid=? AND password=?" ; pstmt = conn.prepareStatement(sql) ; pstmt.setString(1,userid) ; // 这里设置了第一个?的值 pstmt.setString(2,pas...
MyBatis动态SQL详解
SGLP521的博客
11-24 3万+
MyBatis动态SQL
MyBatis案例 | 使用映射配置文件实现CRUD操作——多条件查询
Alita233_的博客
02-04 2513
MyBatis实现多条件查询
Mybatis系列(二)之动态SQL和模糊查询
lijie1025的博客
08-22 1684
Mybatis动态SQL和模糊查询
SQL占位符
m0_51548758的博客
09-30 1617
问号(?:最常用的占位符,适用于多种数据库。命名占位符(如 :name):提高可读性,强烈建议使用。百分号(%):在 LIKE 查询中作为通配符使用。数字占位符:特定数据库系统中,使用参数的位置索引。使用这些占位符可以提高 SQL 查询的安全性和可读性,减少 SQL 注入的风险。
聊聊 SQL 语句中的占位符
yangshuquan的专栏
08-21 1872
大家都知道,在 SQL 语句中,可以使用 LIKE 进行模糊查询,但可能大家不知道的是,LIKE 语句的占位符除了 % 占位符之外,还有 _ 占位符,理解这些占位符可以帮助我们更有效地构造查询并进行字符串匹配,提高程序性能
精通SQL占位符的编程技巧与实践
weixin_31419153的博客
06-26 935
动态SQL是在执行前无法确定其确切内容的SQL语句。它通常在程序运行时根据需要生成,提供灵活性以便处理复杂的查询需求。动态SQL广泛应用于需要根据用户输入、系统状态或其他可变条件来构建查询的场景。例如,一个在线商店可能会根据用户的搜索条件动态地生成SQL查询以检索商品。动态SQL的一个典型例子是通过搜索功能检索数据库中的数据。用户输入的搜索词和选择的过滤条件将直接影响到SQL查询语句的构建。如果搜索引擎支持模糊搜索、范围查询多条件组合查询,那么就需要使用动态SQL来适应这些变化。
MyBatis学习】占位符,sql注入问题,like模糊匹配等可能出现一定的问题,赶快与我一同去了解,避免入坑吧 ! ! !
程序员良辰
06-17 3794
MyBatis学习】占位符,sql注入问题,like模糊匹配等可能出现一定的问题,赶快与我一同去了解,避免入坑吧 ! ! !
sql占位符的使用
欢迎访问,Viola的博客!
07-16 1万+
1.增加SQL代码可读性2.占位符可以预先编译,提高执行效率3.防止SQL注入4用占位符的目的是绑定变量,这样可以减少数据SQL的硬解析,所以执行效率会提高不少 绑定变量是Oracle解决硬解析的首要利器,能解决OLTP系统中library cache的过度耗用以提高性能绑定变量是Oracle解决硬解析的首要利器,能解决OLTP系统中library cache的过度耗用以提高性能。然刀子磨的太快,...
SQL语句中的占位符是干什么的?底层原理是什么?
长风破浪会有时的博客
05-14 2306
在PHP中,PDO和mysqli扩展都支持预处理语句,并且提供了绑定参数的方法来使用占位符。例如,使用PDO的prepare()方法准备SQL语句,然后使用bindParam()或bindValue()方法来绑定参数值。在执行时,使用execute()方法执行SQL语句即可。当一个SQL语句使用占位符时,数据库系统可以预编译该语句,并在需要执行时,只需要绑定参数并执行,避免了每次执行都需要解析和编译SQL语句的开销。它们被用来构建可重用的SQL语句,通过在运行时绑定实际的参数值,以生成具体的SQL语句。
MyBatis常用转义
m0_64345658的博客
11-14 1222
【代码】MyBatis常用转义。
SQL中的占位符、@Param注解和方法参数
最新发布
2401_83708850的博客
07-24 387
@Param("username") :给参数 命名 ,告诉MyBatis“这个参数对应SQL中的 #{username} ”- String username :方法的 形参变量 ,接收外部传入的用户名(比如用户登录时输入的值)- 作用 :MyBatis的 参数占位符 ,会被替换成 @Param("username") 注解的参数值。- 分层设计 :Java代码(方法参数)→ ORM框架(MyBatis注解)→ 数据库(表字段)的 解耦。- 位置 :方法参数前的注解。
SQl语句通配符实现模糊查找
gronrui2的博客
09-11 1117
SQL 中的通配符之一,用于表示任意字符的占位符。最终,在 SQL 查询中匹配包含任意前缀和后缀的。这三部分字符串连接在一起,形成一个新的字符串。函数,它会将多个字符串值连接在一起。就是模糊查询的条件,下面是用法介绍。
SQL注入、占位符拼接符
喜欢猪猪
06-03 3352
目录 一、什么是SQL注入 二、Mybatis中的占位符和拼接符 三、为什么PreparedStatement 有效的防止sql注入? 一、什么是SQL注入 官方: 所谓SQL注入,就是通过把SQL命令插入到Web表提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意的)SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQ..
Mybatis 中的转义字符用法及说明
csdnlaiyanqi的博客
04-01 2万+
Mybatis 中的<![CDATA[ ]]>用法及说明 一、简要概述 1、平时在mybatis的映射文件写sql时,很多时候都需要写一些特殊的字符。例如:"<" 字符 “>” 字符 “>=” 字符 “<=” 字符,但是在xml文件中并不能直接写上述列举的字符,否则就会报错。 2、因为在解析xml文件时候,我们如果书写了特殊字符,在没有特殊处理的情况下。这些字符会被转义,但我们并不希望它被转义,所以我们要使用<![CDATA[ ]]>来解决。 3、那为什么要这样书写呢
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值