mybatis中的字符串替换

最新推荐文章于 2024-04-24 15:53:05 发布
最新推荐文章于 2024-04-24 15:53:05 发布
阅读量4.7k 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a1524587436/article/details/103363822
版权

默认情况下,使用 #{} 格式的语法会导致 MyBatis 创建 PreparedStatement 参数占位符并安全地设置参数(就像使用 ? 一样)。 这样做更安全,更迅速,通常也是首选做法,不过有时你就是想直接在 SQL 语句中插入一个不转义的字符串。 比如,像 ORDER BY,你可以这样来使用:
ORDER BY ${columnName}
这里 MyBatis 不会修改或转义字符串。

当 SQL 语句中的元数据(如表名或列名)是动态生成的时候,字符串替换将会非常有用。 举个例子,如果你想通过任何一列从表中 select 数据时,不需要像下面这样写:

@Select("select * from user where id = #{id}")
User findById(@Param("id") long id);

@Select("select * from user where name = #{name}")
User findByName(@Param("name") String name);

@Select("select * from user where email = #{email}")
User findByEmail(@Param("email") String email);

// and more "findByXxx" method

可以只写这样一个方法:

@Select("select * from user where ${column} = #{value}")
User findByColumn(@Param("column") String column, @Param("value") String value);

其中 ${column} 会被直接替换,而 #{value} 会被使用 ? 预处理。 因此你就可以像下面这样来达到上述功能:

User userOfId1 = userMapper.findByColumn("id", 1L);
User userOfNameKid = userMapper.findByColumn("name", "kid");
User userOfEmail = userMapper.findByColumn("email", "noone@nowhere.com");

这个想法也同样适用于用来替换表名的情况。

提示 用这种方式接受用户的输入,并将其用于语句中的参数是不安全的,会导致潜在的 SQL 注入攻击,因此要么不允许用户输入这些字段,要么自行转义并检验。

meetshawn
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
MyBatis-Plus自定义字符串替换格式化策略的深度解析与实践
奇妙的Bug之旅
01-09 410
MyBatis-Plus,我们可以使用注解来定义实体类的属性映射到数据库表的字段。其,formatter属性可以用来指定一个自定义的格式化器,用于对字段值进行格式化。格式化器可以是一个实现了接口的类,或者是一个实现了接口的类。要实现自定义的字符串替换格式化策略,我们需要创建一个实现了接口的类。这个类的主要任务是接收一个对象作为参数,然后返回一个字符串作为结果。在这个类,我们可以重写format方法来实现自定义的格式化逻辑。
关于 Mybatis ${} 字符串替换时机的代码分析
a987456321z的专栏
03-26 556
1. MappedStatement#getBoundSql 2. 进入 DynamicSqlSource 3. 在 TextSqlNode#apply 方法 4. ${table}变量替换
mybatis字符替换(大于/小于/等于.....)
热门推荐
nyasm的博客
11-18 2万+
第一种写法(1): 原符号 < <= > >= & ' " 替换符号 &lt; &lt;= &gt; &gt;= &amp; &apos; &quot; 例如:sql如下: create_date_time &gt;= #{startTime} and create_date_time &.
MyBatis 替换成 MyBatis-Plus,上线后我哭晕在厕所。。。
最新发布
kangbin825的专栏
04-24 1142
一个老项目,数据库用的是 MySQL 5.7.36 , ORM 框架用的 MyBatis 3.5.0 , mysql-connector-java 版本是 5.1.26。当时看到这个异常的第一眼,觉得既熟悉又陌生,熟悉的是这个异常信息的结构,陌生的是 abc_{yyyyMMdd}.txt ,这不是文件名吗?Mybatis-Plus 替换 MyBatis 之前没这个异常,替换之后就有了这个异常,这不是 Mybatis-Plus 的问题?这个校验逻辑是什么?
mybatis字符串替换即#{}与${}的区别
旅行才是人生追寻
07-28 3751
默认情况下,使用#{}格式的语法会导致MyBatis创建预处理语句属性并以它为背景设置
mybatis 字符串替换而不是设置的方法
weixin_34320724的博客
10-17 343
2019独角兽企业重金招聘Python工程师标准>>> ...
mybatis Mapper.xml传参多选 字符串形式逗号分隔 AND拼接OR.rar
07-12
标题和描述所提及的问题是关于如何在Mapper.xml文件处理字符串形式的参数,这些参数由逗号分隔,并在`AND`语句拼接`OR`子句来实现动态查询。这种场景在处理用户多选过滤条件时非常常见,比如在一个搜索框,...
Mybatis日志参数快速替换占位符工具的详细步骤
08-18
为了提取第二个或更多个换行符后的文本,可以编写一个递归函数`index(str, reg, n)`,该函数返回字符串`str`字符串`reg`的第`n`个实例的索引。在给定的代码示例,这个函数实现了这一功能,允许我们定位到第二个...
java字符串${}或者{}等的占位符替换工具类
08-26
Java字符串${}或者{}等占位符替换工具类 Java字符串${}或者{}等占位符替换工具类是一个功能强大且实用的工具类,它可以将Java字符串的占位符依次替换为指定的值。该工具类的主要功能是实现占位符的替换,即将...
MyBatis的模糊查询语句
08-31
例如,`'%abc%'`会匹配任何包含'abc'序列的字符串,无论其前后是否有其他字符。 2. MyBatis的模糊查询: 在MyBatis,我们可以直接在XML映射文件编写SQL语句来实现模糊查询。例如,给出的代码片段展示了如何...
Mybatis现学现用
12-16
字符串替换 默认情况下,使用#{}格式的语法会导致MyBatis创建预处理语句属性并以它为背景设置安全的值(比如?)。这样做很安全,很迅速也是首选做法,有时你只是想直接在SQL语句插入一个不改变的字符串。比如,像...
09-MyBatis 占位符#和$
鸣鼓ming的博客
01-14 1187
1.#占位符 #占位符告诉 mybatis 使用实际的参数值代替。并使用 PrepareStatement 对象执行 sql 语句, #{…}代替 sql 语句的“?”。这样做更安全,更迅速,通常也是首选做法. xml <select id="getUserById" resultType="com.limi.entity.User"> <!--要执行的 sql 语句--> select * from t_user where id = #{
mybatis mysql插入和修改语句,去掉或替换指定字符
han_xiaoxue的博客
05-20 1277
有的时候数据过来的时候带着一些,我们并不想存入到数据库的字符,我们可以在mybatis替换成空或者我们想要的字符。 如下图:将字段的 # 换成 ‘’
Mybatis特殊字符整理
Min_JW的博客
11-14 2108
大于及大于等于 原符号 &amp;gt; &amp;gt;= 替换符号 &amp;amp;gt; &amp;amp;gt;= 小于及小于等于 原符号 &amp;lt; &amp;lt;= 替换符号 &amp;amp;lt; &amp;amp;lt;= 与 原符号 &amp;amp; 替换符号 &amp;amp;amp; 单引和双引号 原符
Mybatis 源码探究 (4) 将sql 语句的#{id} 替换成 ‘?
07-15 875
Mybatis 源码探究 (4) 将sql 语句的#{id} 替换成 '? 出于好奇,然后就有了这篇文章啦。 源码给我的感觉,是一座大山的感觉。曲曲折折的路很多,点进去就有可能出不来。 不过慢慢看下来,收货是有的,对一些理解更为深刻了,而且越来越觉得数据结构是真的真的重要,底层的类,就没有不用到数据结构的。 传进来的参数text是 select t_user.id,t_user.username,t_user.password from t_user where t_user.id=#{id} 这里需
仿mybatis的SQL解析器实现思路
lxyoucan的博客
04-15 610
带表达式的SQL配置如下: select * from t_sqlapi where minId=#{minId} <if test='maxId !=null'> and maxId=#{maxId} </if> and 1==1 <if test='name !=null'> and name=#{name} </if> 参数如下: Map<String, Object> map = new HashMap<>()
你还在 Select * 吗?
Java后端技术
03-08 2509
点击上方“Java后端技术”,选择“置顶或者星标”你关注的就是我关心的!作者:AIOps应用程序慢如牛,原因多多,可能是网络的原因、可能是系统架构的原因,还有可能是数据库...
@select注解_mybatis使用注解替代xml配置,动态生成Sql
weixin_39762478的博客
11-27 1019
mybatis使用注解替代xml配置时,遇到判断条件是否为null或者为空时,@Select很难搞定,不知道怎么办?mybatis3增加了使用注解来配置Mapper的新特性,使用 SelectProvider来动态生成sql。典型的使用场景1. 无参数@SelectProvide方法在Mapper接口方法上和@SelectProvide指定类方法上,均无参数:UserMapper.java: @...
select * 替换写法
09-21 2241
实际开发经常用到select * from table,往往需要知道具体的字段,这个时候再去数据库翻或者查看数据字典比较麻烦。为了方便,自己特意写了一个小函数,只针对sqlserver哦。 以下为函数代码: create function f_selectall ( @ptablename VARCHAR(50),----表名 如SA_WL_L...
mybatis 截取字符串
09-20
MyBatis提供了一个非常有用的函数SUBSTRING来截取字符串。你可以在MyBatis的SQL语句使用SUBSTRING函数来实现字符串的截取操作。下面是一个示例: ```xml <select id="selectXXXList" parameterType="XXX" resultMap="XXXResult"> select SUBSTRING(column_name, start_index, length) from table_name </select> ``` 在上面的示例,你需要将`column_name`替换为你要截取的列的名称,`start_index`替换为你要截取的起始位置,`length`替换为你要截取的长度。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值