mybatis直接执行完整sql以及踩的一些坑

已于 2024-04-26 16:45:48 修改
阅读量1.8k 收藏 10
点赞数 4
文章标签: mybatis
于 2023-03-20 21:48:15 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/StrongerB/article/details/129677115
版权
文章讨论了在MyBatis中如何处理将SQL语句作为参数的情况,对于DQL查询使用List<LinkedHashMap<String,Object>>接收结果,而DML操作则返回int类型。为了防止SQL注入,推荐使用PrepareStatement预编译或对SQL进行过滤。同时提到了两个常见问题:资源目录结构错误可能导致绑定异常,以及避免在数据库字段中使用关键字。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

开发中有时遇到将表名或者完整sql作为参数去执行,与一般情况下的增删改查传参数或者对象不同,mybatis也是可以直接执行sql语句的,这个时候如何sql的返回值不太好处理,大致分为DQL和DML两种情况。

select语句采用List<LinkedHashMap<String , Object>>接收,这样可以保证查询结果的字段有序输出,查询结果如果是空会返回'[]'


List<LinkedHashMap<String , Object>> executeQuerySql(@Param("sql") String sql);

count、insert、update等语句用int接收即可


int executeCountSql(@Param("sql") String sql);

在xml中的标签统一用select即可,如下:


<select id="executeQuerySql" resultType="java.util.LinkedHashMap" parameterType="String">
        ${sql}
    </select>
    <select id="executeCountSql" resultType="java.lang.Integer" parameterType="String">
        ${sql}
    </select>

这时要注意预防sql注入;#{}拼接参数可以很大程度上的防止sql注入,${}却不行,做法可以使用PrepareStateMent预编译进行防范,或者简单粗暴的对sql进行识别过滤一下,例如:


public static boolean sqlValidate(String sql) {
        String badStr = "'|and|exec|execute|insert|select|delete|update|count|drop|*|%|chr|mid|master|truncate|" +
                "char|declare|sitename|net user|xp_cmdshell|;|or|-|+|,|like'|and|exec|execute|insert|create|drop|" +
                "table|from|grant|use|group_concat|column_name|" +
                "information_schema.columns|table_schema|union|where|select|delete|update|order|by|count|*|" +
                "chr|mid|master|truncate|char|declare|or|;|-|--|+|,|like|//|/|%|#";//过滤掉的sql关键字,可以手动添加
        String[] badSplit = badStr.split("\\|");
        for (String s : badSplit) {
            if (sql.contains(s)) {
                return true;
            }
        }
        return false;
    }
}

踩坑环节:

1、resources目录下的文件夹一定要一步一步创建或者包中间用/符号分隔,否则就会造成看上去没毛病,但是报错:org.apache.ibatis.binding.BindingException: Invalid bound statement (not found)

图中user是用mybatis/user创建的,user1是用mybatis.user1创建的,根本看不出来,一不小心就得找bug一小时。。。

2、数据库字段一定不要用关键字,否则在xml中就算用上各种转义符累半天不说,还不一定好使。。。

StrongerB
关注
MyBatis安全小:#{} vs ${},你过几个?
java专栏
11-06 1098
通过今天的介绍,相信你已经深入了解了#{}和${}的区别,并掌握了如何在实际开发中避免常见的安全问题。无论是预编译参数、动态 SQL 生成,还是输入验证和日志记录,都有助于你写出更安全、更高效的代码。希望这篇文章能帮助你在实际开发中更加得心应手。如果你有任何疑问或建议,欢迎在评论区留言,我们一起交流,共同进步!
Mybatis自定义Sql
小思的博客
08-22 3860
前言:近日遇到很复杂的业务逻辑需要处理(每每这个时候博主经常吐槽自己脑子不够用了
SpringBoot+Mybatis-plus执行原生Sql的三种方式
hyzhangjun的专栏
06-06 1207
二、使用Mybatis-plus的SqlRunner。一、使用Spring的JdbcTemplate。三、使用Mybatis-plus的Mapper。
mybatis直接执行sql
m0_37539286的博客
05-08 7313
注意:需要手动校验sql中参数,防止sql注入 1. 注解方式 Mapper接口 @Mapper public interface PublicSqlMapper { /** * 通用查询 * @return */ @Select("${sql}") List<LinkedHashMap<String, Object>> select(Map<String, Object> map); /** *
SpringBoot MybatisPlus 执行原生Sql的三种方式
最新发布
hyzhangjun的专栏
03-24 579
【代码】SpringBoot MybatisPlus 执行原生Sql的三种方式。
MyBatis直接执行SQL的工具SqlMapper
热门推荐
偶尔记一下 - mybatis.io
03-11 5万+
可能有些人也有过类似需求,一般都会选择使用其他的方式如Spring-JDBC等方式解决。能否通过MyBatis实现这样的功能呢?为了让通用Mapper更彻底的支持多表操作以及更灵活的操作,在2.2.0版本增加了一个可以直接执行SQL的新类SqlMapper。通过这篇博客,我们来了解一下SqlMapper。SqlMapper提供的方法SqlMapper提供了以下这些公共方法: Map<String,O
mybatis直接执行sql语句后续之一
04-18
NULL 博文链接:https://benworld.iteye.com/blog/1841031
Mybatis 直接执行SQL
learningcsdn的博客
06-02 1万+
Mybatis 直接执行SQL好久不更新博客了,今天开发遇到一个问题就是如何在mybatis直接执行sql直接上代码:<select id="selectBysql" parameterType="java.lang.String" resultType="java.lang.Integer"> ${sql}//#{sql} </select>上网查了下,网上的解释是: 使用${}代
mybatis/ibatis直接执行sql语句
简约不简单
12-17 1095
在项目中,使用的是mybatis3.0.5,但没有采用其提供的DAO层接口映射的策略,而且在进行多种属性联合查找时,需要底层提供通用的解决方案,所以需要mybatis直接执行sql语句,各个daoImpl均可调用,减少了在每个mybatis文件中配置符合当前对象的select查询。。 (在mybatis中,需要通过传递对象,在select中判断对象属性是否为空进行where语句的拼凑,对后期...
MyBatis 中如何执行 SQL 语句
stormjun的博客
07-11 1万+
MyBatis 提供了多种方式来执行 SQL 语句,包括直接使用 SqlSession 执行、使用映射器执行、使用 SqlSessionTemplate 执行等。在执行 SQL 语句时,需要将 SQL 语句中的参数和返回结果。
详解MyBatis直接执行SQL查询及数据批量插入
09-02
主要介绍了MyBatis直接执行SQL查询及数据批量插入的相关知识,需要的朋友一起学习吧
Mybatis 适配多数据源 关键字查询问题
jin121380的博客
07-29 1039
Mybatis 适配多数据源 关键字查询问题
java springboot反射实现数据库操作mybatis
pan_y95的博客
10-08 1340
前言: 开发操作数据库,对于SQL语句是手写。觉得麻烦,有的简单的也需要自己写多次 已知操作数据库简便的有 一:通过generator的数据库生成表,会生成对应的数据库单表的操作。 二:通过jpa的方法操作数据库 三:通过自己来写 generator 遇到重构的情况就很难受,并且要避免多次执行 会覆盖原本的Model、DAO和映射文件的文件夹(过的)。。 jpa相对和mybatis...
小公司里用SpringBoot做MySQL分库分表,了一些
m0_71777195的博客
09-15 159
这里就不给大家展示数据库的安装和防火墙的操作了,这个我感觉网上好多资源都能够满足遇到的问题,在搭建主从库的时候有在网上见到过说MySQL版本要一致的,我也没太留意直接就在之前的MySQL上操作了,大家可以自己去验证一下。==重要的事情说三遍,因为再操作主库之后可能会导致红框中的。出错的原因是在主库中删除了用户信息,但是在从库中同步的时候失败导致同步停止,下面记录自己的操作(是在进入MySQL的操作且是从库)。,因为下面的命令还是SQL命令,执行下面的SQL,可以拿到我们后面需要的两个重要参数。
mybatis执行sql语句
wang0907的博客
08-19 4421
写在前面 通过这篇文章的分析,已经生成了可以执行sql语句了,本文来分析SQL语句具体的执行过程。 想要系统学习的,可以参考这篇文章,重要!!!。
Mybatis直接执行SQL语句
qq_40964338的博客
04-26 4065
有时候我们如果要对传入的SQL验证语法方面怎么办呢,首先我们是不是要有一条完整SQL,而且让mybatis执行,这是小白最近遇到的,对于用户输入进来的语法与参数,进行拼接并且去执行,判断SQL语句有没有语法错误。 第一种方法:建立一个SQL工具进行SQL处理再返回完整SQL语句 1、建立工具类 public class SqlProviderUtils { public String...
mybatis直接执行前台传递的sql语句(mapper参数即为sql字符串)
编程日常记录与总结 https://franciswmf.iteye.com
04-12 2万+
1、dao.java public List> selectPublicItemList(@Param(value="sqlStr") String sqlStr); 2、mapper.xml ${sqlStr} 3、controller.java @RequestMapping(value="/getPublicOptionItemList", method = Reque
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值