开发中常用的Mybatis使用总结

最新推荐文章于 2023-04-04 23:40:21 发布
最新推荐文章于 2023-04-04 23:40:21 发布
阅读量1.2w 收藏
点赞数
分类专栏: Java Mybatis 文章标签: mybatis java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/A_Java_Dog/article/details/108724525
版权
Java 同时被 2 个专栏收录
31 篇文章 2 订阅
订阅专栏
Mybatis
16 篇文章 0 订阅
订阅专栏

mybatis使用总结

mybatis使用总结

介绍
首个类持久性框架
分为JDBC(原始SQL)和Hibernate(ORM)简化绝大部分JDBC代码,
手工设置参数和获取结果
灵活,使用者能够完全控制SQL,支持高级映射

防止sql注入

说明:在MyBatis中,使用XML文件或注释来进行配置和映射,将接口和Java POJO(普通的旧Java对象)映射到数据库记录

xml例子
映射器界面

@Mapper
public interface UserMapper {
    User getById(int id);
}

** XML配置文件**

<select id="getById" resultType="org.example.User">
 SELECT * FROM user WHERE id = #{id}
</select

注释示例

@Mapper
public interface UserMapper {
    @Select("SELECT * FROM user WHERE id= #{id}")
    User getById(@Param("id") int id);
}

可以看到,使用者需要自己编写SQL语句,因此当使用不当时,会导致注入问题

与使用JDBC不同的是,MyBatis使用#{}和${}来进行参数值替换

使用#{}语法时,MyBatis会自动生成PreparedStatement,使用参数绑定(?)的方式来设置值,
上述两个示例等价的JDBC查询代码如下:

String sql = "SELECT * FROM users WHERE id = ?";
PreparedStatement ps = connection.prepareStatement(sql);
ps.setInt(1, id);

因此#{}可以有效防止SQL注入,详细可参考http://www.mybatis.org/mybatis-3/sqlmap-xml.html 字符串替换部分

而使用${}语法时,MyBatis会直接注入原始字符串,即相当于分段字符串,因此会导致SQL注入,如

<select id="getByName" resultType="org.example.User">
 SELECT * FROM user WHERE name = '${name}' limit 1
</select>

名称估计’ or ‘1’='1,实际执行的语句为

SELECT * FROM user WHERE name = '' or '1'='1' limit 1

因此建议尽量使用#{},但有些时候,如按语句排序,使用#{}会导致错误,如

ORDER BY #{sortBy}

sortBy参数估计name,替换后会成为

ORDER BY "name"

即以字符串“ name”来排序,而不是按名称排序,详细可参考https://stackoverflow.com/a/32996866/6467552。

这种情况就需要使用 ${}

ORDER BY ${sortBy}

使用了${}后,使用者需要自行过滤输入,方法有:

代码层使用白名单的方式,限制sortBy允许的值,如只能为name,email变量,异常情况则设置为替换值name

在XML配置文件中,使用if标签来进行判断

Mapper接口方法

List<User> getUserListSortBy(@Param("sortBy") String sortBy);

<select id="getUserListSortBy" resultType="org.example.User">
  SELECT * FROM user
  <if test="sortBy == 'name' or sortBy == 'email'">
 order by ${sortBy}
  </if>
</select>

因为Mybatis不支持else,需要替换值的情况,可以使用 choose (when, otherwise)

<select id="getUserListSortBy" resultType="org.example.User">
  SELECT * FROM user
  <choose>
    <when test="sortBy == 'name' or sortBy == 'email'">
      order by ${sortBy}
    </when>
    <otherwise>
      order by name
    </otherwise>
 </choose>
</select>

like语句

在代码层,在参数值两边加上%,然后再使用#{}

使用bind标签来构造新参数,然后再使用#{}

Mapper接口方法

List<User> getUserListLike(@Param("name") String name);

xml配置文件

<select id="getUserListLike" resultType="org.example.User">
    <bind name="pattern" value="'%' + name + '%'" />
    SELECT * FROM user
    WHERE name LIKE #{pattern}
</select>

语句内部的值为OGNL表达式,具体可参考http://www.mybatis.org/mybatis-3/dynamic-sql.html bind部分

使用SQL concat()函数

<select id="getUserListLikeConcat" resultType="org.example.User">
 SELECT * FROM user WHERE name LIKE concat ('%', #{name}, '%')
</select>

除了注入问题之外,这里还需要对用户的输入进行过滤,永久有通配符,
否则在表中数据量中断的时候,假设用户输入为%%,会进行全表模糊查询,
严重情况下可导致DOS ,参考http://www.tothenew.com/blog/sql-wildcards-is-your-application-safe/

IN条件

使用和#{}

Mapper接口方法

List<User> getUserListIn(@Param("nameList") List<String> nameList);

<select id="selectUserIn" resultType="com.example.User">
  SELECT * FROM user WHERE name in
  <foreach item="name" collection="nameList"
           open="(" separator="," close=")">
        #{name}
  </foreach>
</select>
意田天
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
MyBatis 开发 (最常用
weixin_49684576的博客
11-04 113
myBatis在dao层开发 定义接口 实现接口 类继承接口后不想实现抽象方法那么就要定义为抽象类 没有方法传入用resultType 2,代理开发方式 动态代理 jdk的动态代理 cglib动态代理 1.需要自己写接口 Mapper接口 2.MyBatis通过动态代理的方式生成代理对象 代理对象的作用:和传统方式自己写的dao的实现类的作用一样的 @Test public void testAdd(){ /填class类型 获取userMapper接口的实现类的对象,在底层使用动态代理的方
Mybatis 项目开发实际常用SQL笔记总结
weixin_33835103的博客
03-23 94
parameterType 和resultTypeparameterType:单个参数用String,多个参数用map resultType:可以是 Integer、String、Object<selectid="countGroupMasterByUid"parameterType="String"resultType="Integer"...
开发过程使用MyBatis的大概思路:
WARGON的博客
07-28 410
1:设计好数据表。 2:写Mybaits的配置文件 3:编写与数据表对应的持久化类。 4:编写mapper。如果采用XML的方式,需要为持久化类编写mapper配置文件。如果采用注解方式,为持久化类编写相应的Mapper类。 5:写一个MyBatis的工具类,用来创建SqlSession 6:最好创建service类,为每个持久化类进行操作的封装。 7:然后就调用封装好的service...
Mybatis使用concat函数
single_cong的博客
06-29 1万+
开发时遇到一个需求,用户角色存在变更,使用关联关系浪费空间,于是想到使用在数据库字段存放字符串,以,分割,这样获取到数据之后使用AuthorityUtils.commaSeparatedStringToAuthorityList(param)即可将用户角色转成list集合,数据库字段信息如下 如图所示,用户role字段对应用户角色信息,但是用户角色可能会添加也可能会删除某个角色,当然查出来利...
MySQL常用函数及Mybatis标签
gx6666hh的博客
12-29 552
MySQL常用函数 1.find_in_set(“a”, “a,b,c”):a是否包含在以字符串分隔的一节 2.FROM_UNIXTIME(create_time, ‘%Y-%m-%d %H:%i:%s’):时间戳转成时间类型 3.DATE_SUB(CURDATE(),INTERVAL 2 DAY):当前时间的前两天 4.date_format(hiredate, ‘%Y-%m-%d %H:%i...
Mybatis学习总结mybatis使用建议
09-02
- 如果项目使用了注解进行映射,记得给注解添加适当的文档注释,帮助其他开发者理解其用途和功能。虽然方法签名能提供一部分信息,但详细的注释能更好地辅助理解和维护。 5. **事务管理**: - 确保正确管理和...
MyBatis基本使用总结
02-24
MyBatis是一个优秀的Java持久层框架,它支持定制化SQL、存储过程以及高级映射。在使用MyBatis时,我们需要理解其核心组件...在实际项目,理解并熟练掌握MyBatis的基本使用,对于提升开发效率和代码质量有着重要作用。
MyBatis学习总结
01-27
MyBatis 可以使用简单的 XML 或注解进行配置和原始映射,将接口和 Java 的 POJOs(Plain Old Java Objects,普通的 Java 对象)映射成数据库的记录。 MyBatis 的基本特性包括: 1. 易于使用MyBatis 提供了一个...
详解Spring BootMyBatis使用方法
08-29
总结来说,Spring BootMyBatis使用方法既保留了其原有的灵活性,又利用Spring Boot的自动化配置降低了使用门槛。无论是完全注解还是XML配置,都能根据项目需求选择适合的集成方式。在实际项目开发,结合...
MyBatisOGNL的使用教程详解
08-30
当在SQL字符串使用`${}`时,MyBatis使用OGNL解析其的表达式。例如: ```xml select id,name,... from country != null and name != ''"> name like '${'%' + name + '%'}' ``` 注意,使用...
mybatisconcat用法
热门推荐
xiangwang2016的博客
12-27 4万+
案例一:条件查询+分页操作  pojo类(作用:多参数传递) public class PageParams { private int start ; private int limit; /*******setter and getter*********/ } 接口方法 传递一个pojo类及另外参数 可用一个pojo类来代替,mapper相应sql...
MyBatis使用concat()方法
weixin_34266504的博客
10-07 8652
2019独角兽企业重金招聘Python工程师标准>>> ...
mybatis——concat()方法
m0_51082307的博客
03-11 4506
concat介绍 CONCAT(字串1, 字串2, 字串3, …): 将字串1、字串2、字串3,等字串连在一起。 应用场景主要为模糊查询
mybatis mysql concat_在MyBatis使用concat()方法
weixin_36170766的博客
01-19 1714
concat介绍CONCAT(字串1, 字串2, 字串3, ...): 将字串1、字串2、字串3,等字串连在一起。示例SELECT CONCAT(region_name,store_name) FROM GeographyWHERE store_name = 'Boston';应用场景模糊查询concat:Used to connect the field, or the characters. ...
MyBatis常用语法
沈洋的博客
08-06 565
MyBatis常用语法 总结一下常用的一些mybatis的语法 模糊查询 模糊查询可以使用concat函数和"%"#{parm}"%"这种方式,示例如下 <!--"%"#{parm}"%"--> <select id="findList" resultType="com.demo.vo.SysUserListVo"> SELECT <i...
SQL语句教程(21) Concatenate
sgear
05-19 1861
 SQL语句教程(21) Concatenate有的时候,我们有需要将由不同栏位获得的资料串连在一起。每一种资料库都有提供方法来达到这个目的: MySQL: CONCAT() Oracle: CONCAT(), || SQL Server: + CONCAT() 的语法如下:CONCAT(字串1, 字串2, 字串3, ...): 将字串1、字串
concat函数的介绍及mybatis 模糊查询
qq_42861411的博客
09-29 3122
有的时候,我们有需要将由不同地方获得的字符串拼接在一起。 如:在很多时候,我们需要模糊查询 like, 对于mysql 的 like 而言,一般都要用 like concat() 组合,可以防止sql注入。 在mybatis 就可以这么写: select * from region A where A.region_name like concat( '%' , '#{region_nam...
MyBatis 拼接字符串的几种方式
最新发布
qq_34786108的博客
04-04 1万+
MyBatis 拼接字符串的几种方式
mybatisbind标签和concat使用
a116385895的博客
11-07 1250
首先,二种方式都可以用来模糊查询,都能预防 SQL 注入。但是在更换数据库情况下,bind标签通用。 <if test=” userName!= null and userName!=””> and userName like concat('%' ,#{userName},'%') </if> 使用concat函数连接字符串,在mysql这个函数支持多个参数...
MyBatis核心技术与实战总结
"MyBatis学习总结,涵盖了MyBatis的基础知识、常用特性、高级应用及扩展点,包括XML和注解方式的开发,主键返回,批量查询,动态传参,缓存机制,延迟加载,关联查询,逆向工程,PageHelper分页,以及注解开发等内容...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

意田天

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值