mybatis的SQL注意点

最新推荐文章于 2022-02-18 09:48:43 发布
最新推荐文章于 2022-02-18 09:48:43 发布
阅读量128 收藏
点赞数
文章标签: java
原文链接:https://my.oschina.net/u/2309946/blog/667345
版权

1.动态传入数据表的名字进行多条件参数查询时,statementType采用非预编译的“STATEMENT”而非"PREPARED",否则无法找到表名


<select id="findOneValue" parameterType="java.util.HashMap" resultType="com.createbling.modules.sys.entity.Expert" statementType="STATEMENT">

        SELECT * FROM ${tableName} WHERE cycle_id=${cycle_id} AND parameter_id=${param_id}

</select>


public Expert findOneValue(HashMap map);


HashMap map = new HashMap();//此map装入调用findOneValue所需的参数

                map.put("tableName",tableName);//

                map.put("cycle_id",t);//            

                map.put("param_id",p);//

                Expert e=eService.findOneValue(map);

再者,select*中的*的使用必须要满足此条select的返回类型的所有属性和数据表中的所有字段都相符合,否则不可使用*。

————————————————————————————————————————————————————

当传入参数是2e73a48794494239bb7d1582be699002时必须要有双引号的转义字符&quot;


${}和#{}的区别:

使用#{}格式的语法在mybatis中使用Preparement语句来安全的设置值,而${}是未经过预编译的,仅仅是取变量的值,是非安全的,存在sql注入.只能${}的情况,从我们前面的例子中也能看出,order by是肯定只能用${}了,用#{}会多个' '导致sql语句失效.

使用#传入参数时,sql语句解析是会加上"",比如  select * from table where name = #{name} ,传入的name为小李,那么最后打印出来的就是 select * from table where name = ‘小李,能用#就不要用$,



转载于:https://my.oschina.net/u/2309946/blog/667345

chiyan0018
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
mybatis 动态sql及参数传递
12-14
在实际开发过程中,我们往往需要复杂的SQL语句,拼接稍有不注意就会导致错误,Mybatis给开发者提供了动态SQL,大大降低了拼接SQL导致的错误。 动态标签 if标签 if标签通常用那个胡where语句,update语句,insert...
Mybatis日志中的SQL解析工具(网页版).html
04-23
Mybatis日志中的SQL解析工具(网页版) 说明:复制日志时,必须注意,日志必须包含Preparing:和Parameters:全部内容,而且日志换行格式要保留,不要复制成纯文本,直接ctrl+c即可。
mybatis sql 注意事项
DJPLH的专栏
09-12 197
1、like查询 like CONCAT('%',#{name},'%')  2、特殊字符 如 &lt; select * from test where &lt;![CDATA[ id &lt; 10]]&gt;
myBatis sql 语句需要注意的问题
囧小喵的编程窝
07-25 468
① 大于等于 &lt;![CDATA[ &gt;= ]]&gt; 小于等于 &lt;![CDATA[ &lt;= ]]&gt;
Mybatissql时各种注意事项
one_isi_all的博客
05-16 634
1:在进行save操作,插入数据的同时,往对象中注入id,则需要加两个属性 useGeneratedKeys="true" keyProperty="id"         2:select中返回的是整个对象集合时,属性用 resultMap="BaseResultMap"  ,当是基本数据类型集合时用         resultType=“String”/resultType="I
mybatissql语句注意
红尘浪子的专栏
01-13 711
#{userId}中的userId区分大小,一定要和pojo中定义的一样
mybatis的动态sql学习注意!!!
weixin_49092494的博客
10-18 59
<?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE mapper PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN" "http://mybatis.org/dtd/mybatis-3-mapper.dtd"> <mapper namespace="com.example.HuaDiDemo.mapper.UserMapper"> <select id="ge
mybatis动态sql的一些相关资源
最新发布
04-28
MyBatis动态SQL是一种强大的特性,它允许开发人员根据条件动态地构建SQL语句,从而极大地提高了SQL语句的复用性和灵活性。...然而,需要注意的是,动态SQL在带来便利的同时,也可能存在一些安全隐患
免费开源!!JavaMyBatis SQL 映射器框架
11-06
MyBatis SQL 映射器框架使得在面向对象的应用程序中使用关系数据库变得更加容易。MyBatis 使用 XML 描述符或注释将对象与存储过程或 SQL 语句结合起来。简单性是 MyBatis 数据映射器相对于对象关系映射工具的最大...
Mybatis知识浅浅笔记
08-19
Mybatis 知识浅浅笔记 Mybatis 是一个半自动的 ORM 框架,实现数据库的数据与程序对象的映射。它支持 XML 配置和 SQL 映射文件配置,提供了灵活的持久层框架。 XML 配置 Mybatis 的 XML 配置文件用于定义数据库...
mybatissql语句的注意事项--instr
Gr_lbxx的博客
07-14 4143
instr:            SELECT DEPID,DEPNAME,EMPLOYEEID,EMPLOYEENAME FROM FW_EMPLOYEE,FW_DEPARTMENT WHERE FW_EMPLOYEE.WORKDEPID=FW_DEPARTMENT.DEPID AND INSTR(#{viewPersonID},EMPLOYEEID)>0     not i
mybatis动态SQL注意事项记录
RUANJIAOXIAOZI的博客
11-27 353
1. 多参数 如果存在多个参数,则必须要@Param来指定参数名称 2. 日期比较 数据库类型:datetime 这里传入的字符串日期endDate 必须为 2018-11-17 00:00:00.000 说明:传入的字符串日期的长度必须和数据库的长度保持一致 3. insert后返回主键ID 说明: 设置useGeneratedKeys为true,返回数据库自动生成的记录主键id xml方式 ...
MybatisSQL语句注意
javaACMer的专栏
09-02 1911
mybatis where 动态查询时,首个查询语句的首个单词中不要出现sql的关键字
mybatis注意事项
aoeace
03-08 122
     如果student_sex =0,不执行sql,可能空字符串在此处转换中与0相等。 &lt;if test="student_sex != null and student_sex !=''"&gt; AND student_sex =#{student_sex } &lt;/if&gt;     ...
MyBatis(使用注意事项)
White feathe 的博客
04-15 2889
一、Mybatis中的 #{} 和 ${} 的区别? # 将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by “111”, 如果传入的值是id,则解析成的sql为order by “id”. $将传入的数据直接显示生成在sql中。如:order by $user_id$,如果传入的值
Mybatis 工作中最值得看的常用技巧以及SQL
qq_39182939的博客
01-03 441
数据库与实体自定义类型转换 枚举MarkFieldTypeEnum: public enum MarkFieldTypeEnum { /** * 流水号 */ SERIAL_NUMBER(1,65927,"流水号位数", IntMarkFieldValueImpl.class), /** * 固定内容 */ FIX_CONTEXT(17,57934,"固定内容", FixContentMarkFieldValueImpl.cla.
Mybatissql语句的注意事项
qq_46379459的博客
09-02 185
1、xml文件中,多表连接的时候 ,需要将连接完的新表重新命名 才能够调用新表字段,否则无法识别字段是哪个表的 新表名.新表字段 2、在 分组 group by 和 排序 order by 一起使用的时候 正常顺序是先分组在排序,可一起使用 当需要先排序再分组的时候,就得子查询的方式,先排序,再分组,否则sql语句报错 。 3、在mapper.xml文件中模糊查询的时候 select * from 表名 where 字段 like "%"#{userName}"%" 是加双引号,下的百分
mybatis注意
qq_23412557的博客
02-18 165
mybatis注意
使用mybatis步骤和注意事项
zwc19901015的博客
09-20 3112
1创建一个java项目,创建一个config目录放置配置文件,创建lib文件放置架包:导入架包 2,创建全局配置文件SqlMapConfig.xml和局部映射文件user.xml放在config目录下 3:在SqlMapConfig.xml中配置环境,环境中包含了事物管理和数据源 4:创建实体类pojo属性和数据库的字段对应 5:在user.xml中配置命名
mybatis sql长度
04-29
在编MyBatis SQL时,我们要注意以下几: 1. 尽量避免使用过长的SQL语句,因为SQL语句过长会影响数据库的性能。 2. 为了防止注入攻击,我们要使用预编译语句(Prepared Statement),而不是直接在SQL语句中添加...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值