mybatis直接执行完整sql以及踩的一些坑

已于 2024-04-26 16:45:48 修改
阅读量1.1k 收藏 1
点赞数
文章标签: mybatis
于 2023-03-20 21:48:15 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/StrongerB/article/details/129677115
版权

开发中有时遇到将表名或者完整sql作为参数去执行,与一般情况下的增删改查传参数或者对象不同,mybatis也是可以直接执行sql语句的,这个时候如何sql的返回值不太好处理,大致分为DQL和DML两种情况。

select语句采用List<LinkedHashMap<String , Object>>接收,这样可以保证查询结果的字段有序输出,查询结果如果是空会返回'[]'


List<LinkedHashMap<String , Object>> executeQuerySql(@Param("sql") String sql);

count、insert、update等语句用int接收即可


int executeCountSql(@Param("sql") String sql);

在xml中的标签统一用select即可,如下:


<select id="executeQuerySql" resultType="java.util.LinkedHashMap" parameterType="String">
        ${sql}
    </select>
    <select id="executeCountSql" resultType="java.lang.Integer" parameterType="String">
        ${sql}
    </select>

这时要注意预防sql注入;#{}拼接参数可以很大程度上的防止sql注入,${}却不行,做法可以使用PrepareStateMent预编译进行防范,或者简单粗暴的对sql进行识别过滤一下,例如:


public static boolean sqlValidate(String sql) {
        String badStr = "'|and|exec|execute|insert|select|delete|update|count|drop|*|%|chr|mid|master|truncate|" +
                "char|declare|sitename|net user|xp_cmdshell|;|or|-|+|,|like'|and|exec|execute|insert|create|drop|" +
                "table|from|grant|use|group_concat|column_name|" +
                "information_schema.columns|table_schema|union|where|select|delete|update|order|by|count|*|" +
                "chr|mid|master|truncate|char|declare|or|;|-|--|+|,|like|//|/|%|#";//过滤掉的sql关键字,可以手动添加
        String[] badSplit = badStr.split("\\|");
        for (String s : badSplit) {
            if (sql.contains(s)) {
                return true;
            }
        }
        return false;
    }
}

踩坑环节:

1、resources目录下的文件夹一定要一步一步创建或者包中间用/符号分隔,否则就会造成看上去没毛病,但是报错:org.apache.ibatis.binding.BindingException: Invalid bound statement (not found)

图中user是用mybatis/user创建的,user1是用mybatis.user1创建的,根本看不出来,一不小心就得找bug一小时。。。

2、数据库字段一定不要用关键字,否则在xml中就算用上各种转义符累半天不说,还不一定好使。。。

StrongerB
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
mybatis 插件: 打印 sql 及其执行时间实现方法
08-30
下面小编就为大家带来一篇mybatis 插件: 打印 sql 及其执行时间实现方法。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
详解MyBatis直接执行SQL查询及数据批量插入
09-02
主要介绍了MyBatis直接执行SQL查询及数据批量插入的相关知识,需要的朋友一起学习吧
Mybatis直接执行SQL语句
qq_40964338的博客
04-26 3775
有时候我们如果要对传入的SQL验证语法方面怎么办呢,首先我们是不是要有一条完整SQL,而且让mybatis执行,这是小白最近遇到的,对于用户输入进来的语法与参数,进行拼接并且去执行,判断SQL语句有没有语法错误。 第一种方法:建立一个SQL工具进行SQL处理再返回完整SQL语句 1、建立工具类 public class SqlProviderUtils { public String...
MyBatis执行SQL的两种方式
2401_83330193的博客
03-30 702
sqlMapConfig.xml文件里面添加成对标签,然后里加上成对的标签,使用mapper的resource属性指定mapper文件的路径,这个路径是从target/classes路径开启的。resource=“mapper文件的路径,使用 分割路径”,记住不是""一个mapper resource 指定一个mapper文件代码模板:使用SqlSession 发送 SQLnamespace为cn.cvs.dao.UserMapper指定id为selectCount的sql语句格式:命名空间(names
Mybatis 直接执行SQL
m0_54883970的博客
04-21 5516
Mybatis 直接执行SQL 好久不更新博客了,今天开发遇到一个问题就是如何在mybatis直接执行sql直接上代码: <select id="selectBysql" parameterType="java.lang.String" resultType="java.lang.Integer"> ${sql}//#{sql} </select> 上网查了下,网上的解释是: 使用${}代替#{} 解释是:默认情况下, #{}语法会促使MyBatis生成Prep
MyBatis 中如何执行 SQL 语句
stormjun的博客
07-11 7433
MyBatis 提供了多种方式来执行 SQL 语句,包括直接使用 SqlSession 执行、使用映射器执行、使用 SqlSessionTemplate 执行等。在执行 SQL 语句时,需要将 SQL 语句中的参数和返回结果。
mybatis直接执行sql
m0_37539286的博客
05-08 7038
注意:需要手动校验sql中参数,防止sql注入 1. 注解方式 Mapper接口 @Mapper public interface PublicSqlMapper { /** * 通用查询 * @return */ @Select("${sql}") List<LinkedHashMap<String, Object>> select(Map<String, Object> map); /** *
mybatis执行sql语句
wang0907的博客
08-19 4086
写在前面 通过这篇文章的分析,已经生成了可以执行sql语句了,本文来分析SQL语句具体的执行过程。 想要系统学习的,可以参考这篇文章,重要!!!。
MyBatis直接执行SQL的工具SqlMapper
热门推荐
偶尔记一下 - mybatis.io
03-11 5万+
可能有些人也有过类似需求,一般都会选择使用其他的方式如Spring-JDBC等方式解决。能否通过MyBatis实现这样的功能呢?为了让通用Mapper更彻底的支持多表操作以及更灵活的操作,在2.2.0版本增加了一个可以直接执行SQL的新类SqlMapper。通过这篇博客,我们来了解一下SqlMapper。SqlMapper提供的方法SqlMapper提供了以下这些公共方法: Map<String,O
Mybatis SQL执行过程
BASK2312的博客
02-08 1067
mybatis版本:3.5.12。
mybatis直接执行sql语句后续之一
04-18
NULL 博文链接:https://benworld.iteye.com/blog/1841031
MyBatis 执行动态 SQL语句详解
09-01
大家对mybatis执行任意sql语句都了解,那么MyBatis执行动态SQL语句呢?下面脚本之家小编给大家解答下mybatis执行动态sql语句的方法,非常不错,感兴趣的朋友参考下吧
Linux操作系统相关习题集
04-25
Linux操作系统相关习题集,包含常用名、Linux系统基础知识等
基于java的-30-「计算机毕业设计」基于net的湖南特产销售网站-源码.zip
04-25
提供的源码资源涵盖了Java应用等多个领域,每个领域都包含了丰富的实例和项目。这些源码都是基于各自平台的最新技术和标准编写,确保了在对应环境下能够无缝运行。同时,源码中配备了详细的注释和文档,帮助用户快速理解代码结构和实现逻辑。 适用人群: 适合毕业设计、课程设计作业。这些源码资源特别适合大学生群体。无论你是计算机相关专业的学生,还是对其他领域编程感兴趣的学生,这些资源都能为你提供宝贵的学习和实践机会。通过学习和运行这些源码,你可以掌握各平台开发的基础知识,提升编程能力和项目实战经验。 使用场景及目标: 在学习阶段,你可以利用这些源码资源进行课程实践、课外项目或毕业设计。通过分析和运行源码,你将深入了解各平台开发的技术细节和最佳实践,逐步培养起自己的项目开发和问题解决能力。此外,在求职或创业过程中,具备跨平台开发能力的大学生将更具竞争力。 其他说明: 为了确保源码资源的可运行性和易用性,特别注意了以下几点:首先,每份源码都提供了详细的运行环境和依赖说明,确保用户能够轻松搭建起开发环境;其次,源码中的注释和文档都非常完善,方便用户快速上手和理解代码;最后,我会定期更新这些源码资源,以适应各平台技术的最新发展和市场需求。 所有源码均经过严格测试,可以直接运行,可以放心下载使用。有任何使用问题欢迎随时与博主沟通,第一时间进行解答!
JVM+Java程序运行过程内存分配图解
04-25
1、JVM 内存分配图解的 Visio 工程图。 2、直接下载使用、可自行调整和修改
IOC智慧运营中心平台整体解决方案qy.pptx
04-25
IOC智慧运营中心平台整体解决方案qy.pptx
node-v12.22.8-x86.msi
最新发布
04-25
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
【前端素材】大数据-电动车管理.zip
04-25
大数据技术指的是用于处理和分析大规模数据集的技术和工具。以下是一些常见的大数据技术和工具: Hadoop:Apache Hadoop是一个用于分布式存储和处理大规模数据的开源框架。它包括Hadoop Distributed File System(HDFS)用于数据存储和MapReduce用于数据处理。 Spark:Apache Spark是一个快速、通用的集群计算系统,提供了比MapReduce更快的数据处理能力。它支持内存计算和更多复杂的数据处理流程。 NoSQL数据库:NoSQL数据库(如MongoDB、Cassandra等)则更适用于处理这类数据。 数据仓库:数据仓库是一个用于集成和分析大规模数据的存储系统,一些知名的数据仓库包括Snowflake、Amazon Redshift等。 数据湖:数据湖是一个存储结构化和非结构化数据的存储池,用于支持数据分析和机器学习应用。 机器学习:大数据技术也广泛应用于机器学习领域,支持大规模数据的模型训练和预测分析。 流式处理:针对实时数据处理需求,流式处理技术(如Apache Kafka、Apache Flink)可以实时。
mybatis怎么直接执行sql字符串
07-09
MyBatis 中,可以使用 `SqlSession` 的 `selectOne`、`selectList`、`insert`、`update` 和 `delete` 方法来直接执行 SQL 字符串。 下面是一个示例代码,展示如何使用 MyBatis 直接执行 SQL 字符串: ```java // 获取 SqlSession SqlSession sqlSession = sqlSessionTemplate.getSqlSessionFactory().openSession(); try { // 执行 SQL 字符串 String sql = "SELECT * FROM users WHERE id = 1"; List<Map<String, Object>> resultList = sqlSession.selectList("org.example.mapper.UserMapper.executeSql", sql); // 处理结果 for (Map<String, Object> result : resultList) { // 处理每一行数据 // ... } } finally { // 关闭 SqlSession sqlSession.close(); } ``` 在上述示例中,我们通过 `SqlSession` 的 `selectList` 方法执行 SQL 字符串,并将结果存储在 `resultList` 中。`executeSql` 是一个自定义的映射器方法,用于执行 SQL 字符串。你需要在相应的映射器 XML 文件中进行配置。 需要注意的是,直接执行 SQL 字符串存在安全风险和可维护性问题,请谨慎使用,并确保对输入进行适当的验证和转义。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值