目录
准备工作:
SQL语句:
-- 创建数据库
DROP DATABASE IF EXISTS mybatis_test;
CREATE DATABASE mybatis_test DEFAULT CHARACTER SET utf8mb4;
-- 使用数据数据
USE mybatis_test;
-- 创建表[用户表]
DROP TABLE IF EXISTS userinfo;
CREATE TABLE `userinfo` (
`id` INT ( 11 ) NOT NULL AUTO_INCREMENT,
`username` VARCHAR ( 127 ) NOT NULL,
`password` VARCHAR ( 127 ) NOT NULL,
`age` TINYINT ( 4 ) NOT NULL,
`gender` TINYINT ( 4 ) DEFAULT '0' COMMENT '1-男 2-女 0-默认',
`phone` VARCHAR ( 15 ) DEFAULT NULL,
`delete_flag` TINYINT ( 4 ) DEFAULT 0 COMMENT '0-正常, 1-删除',
`create_time` DATETIME DEFAULT now(),
`update_time` DATETIME DEFAULT now(),
PRIMARY KEY ( `id` )
) ENGINE = INNODB DEFAULT CHARSET = utf8mb4;
-- 添加用户信息
INSERT INTO mybatis_test.userinfo ( username, `password`, age, gender, phone )
VALUES ( 'admin', 'admin', 18, 1, '18612340001' );
INSERT INTO mybatis_test.userinfo ( username, `password`, age, gender, phone )
VALUES ( 'zhangsan', 'zhangsan', 18, 1, '18612340002' );
INSERT INTO mybatis_test.userinfo ( username, `password`, age, gender, phone )
VALUES ( 'lisi', 'lisi', 18, 1, '18612340003' );
INSERT INTO mybatis_test.userinfo ( username, `password`, age, gender, phone )
VALUES ( 'wangwu', 'wangwu', 18, 1, '18612340004' );
-- 创建文章表
DROP TABLE IF EXISTS articleinfo;
CREATE TABLE articleinfo (
id INT PRIMARY KEY auto_increment,
title VARCHAR ( 100 ) NOT NULL,
content TEXT NOT NULL,
uid INT NOT NULL,
delete_flag TINYINT ( 4 ) DEFAULT 0 COMMENT '0-正常, 1-删除',
create_time DATETIME DEFAULT now(),
update_time DATETIME DEFAULT now()
) DEFAULT charset 'utf8mb4';
-- 插入测试数据
INSERT INTO articleinfo ( title, content, uid ) VALUES ( 'Java', 'Java正文', 1 );对应实体类model:
@Data
public class ArticleInfo {
private Integer id;
private String title;
private String content;
private Integer uid;
private Integer deleteFlag;;
private Date createTime;
private Date updateTime;
//用户相关的信息
private String username;
private Integer gender;
}yml配置:
# 数据库配置
spring:
datasource:
url: jdbc:mysql://127.0.0.1:3306/mybatis_test?characterEncoding=utf8&useSSL=false
username: root
password: 1234
driver-class-name: com.mysql.cj.jdbc.Driver
mybatis:
# 配置 mybatis xml 的文件路径,在 resources/mapper 创建所有表的 xml 文件
mapper-locations: classpath:mybatis/**Mapper.xml
configuration: # 配置打印 MyBatis日志
log-impl: org.apache.ibatis.logging.stdout.StdOutImpl
map-underscore-to-camel-case: true #配置驼峰自动转换一、多表查询
多表查询和单表查询差不多,只是SQL不同,下面是xml的配置文件:
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE mapper PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN" "http://mybatis.org/dtd/mybatis-3-mapper.dtd">
<mapper namespace="com.example.mybatisdemo3.mapper.ArticleInfoMapper">
<select id="selectArticleAndUserById" resultType="com.example.mybatisdemo3.model.ArticleInfo">
select ta.*, tb.username, tb.gender from articleinfo ta
left join userinfo tb
on ta.uid = tb.id
where ta.id = #{id}
</select>
</mapper>ArticleInfoMapper接口代码如下:
@Mapper
public interface ArticleInfoMapper {
List<ArticleInfo> selectArticleAndUserById(Integer id);
}测试类代码如下:
@SpringBootTest
class ArticleInfoMapperTest {
@Autowired
private ArticleInfoMapper articleInfoMapper;
@Test
void selectArticleAndUserById() {
System.out.println(articleInfoMapper.selectArticleAndUserById(1));
}
}articleInfo和userinfo表如下:
运行测试类代码,结果如下:
二、#{} 和 ${}
MyBatis 参数赋值有两种⽅式,咱们前⾯使⽤了 #{} 进⾏赋值,接下来我们看下⼆者的区别。
1、#{} 和 ${} 的使用
(1)Integer类型的参数
#{} 的使用
ArticleInfoMapper接口代码:
@Mapper
public interface UserInfoMapper {
@Select("select * from userinfo where id = #{id}")
List<UserInfo> selectId(Integer id);
}测试类代码如下:
@SpringBootTest
class UserInfoMapperTest {
@Autowired
private UserInfoMapper userInfoMapper;
@Test
void selectId() {
userInfoMapper.selectId(1);
}
}运行测试类代码,结果如下:
结果没有毛病。#{} 使用的是预编译SQL,通过 ? 占位的方式,提前对SQL进行编译,然后把参数填充到SQL语句中。这里的 #{} 会根据参数类型,自动拼接引号 ' '。
${} 的使用
UserInfoMapper接口代码如下:
@Mapper
public interface UserInfoMapper {
@Select("select * from userinfo where id = ${id}")
List<UserInfo> selectId(Integer id);
}测试类代码如下:
@SpringBootTest
class UserInfoMapperTest {
@Autowired
private UserInfoMapper userInfoMapper;
@Test
void selectId() {
userInfoMapper.selectId(1);
}
}运行测试类代码,结果如下:
也没有毛病。
(2)使用String类型的参数
#{} 的使用
UserInfoMapper接口代码:
@Mapper
public interface UserInfoMapper {
@Select("select * from userinfo where username = ${username}")
List<UserInfo> selectUserName(String username);
}测试类代码如下:
@SpringBootTest
class UserInfoMapperTest {
@Autowired
private UserInfoMapper userInfoMapper;
@Test
void selectUserName() {
userInfoMapper.selectUserName("zhangsan");
}
}运行测试类代码,结果如下:
没有毛病。
${} 的使用
USerInfoMapper接口代码:
@Mapper
public interface UserInfoMapper {
@Select("select * from userinfo where username = ${username}")
List<UserInfo> selectUserName(String username);
}测试类代码:
@SpringBootTest
class UserInfoMapperTest {
@Autowired
private UserInfoMapper userInfoMapper;
@Test
void selectUserName() {
userInfoMapper.selectUserName("zhangsan");
}
}运行测试类,发现报错了,报错信息如下:
是BadSql,zhangsan应该是一个字符串,但拼接SQL的时候没有加引号,说明 ${} 是直接把参数传进去了,并没有添加引号 ' ',进而报错了。
小结:
1、#{} 使用的是预编译SQL,通过 ? 占位的方式,提前对SQL进行编译,然后把参数填充到SQL语句中。#{} 会根据参数类型,自动拼接引号 ' '。
2、${} 会直接进行字符替换,一起对SQL进行编译。如果参数为字符串,需要加上引号 ' ',
参数为数字类型时,也可以加上,查询结果不变,但是可能会导致索引失效,性能下降。
2、#{} 和 ${} 的区别
#{} 和 ${} 的区别就是 预编译SQL和即时SQL的区别。
当客户发送一条SQL语句给服务器后,大致流程如下:
1、解析语法和语义,校验SQL语句是否正确。
2、优化SQL语句,指定执行计划。
3、执行并返回结果。
(一条SQL如果走上述流程处理,我们称之为 Immediate Statements(即时SQL) )
(1)#{} 的性能更高
绝大多数情况下,某一条SQL语句可能会被反复调用执行,或者每次执行的时候只有个别的值不同(比如select 的 where 子句值不同,update 的 set 子句值不同,insert 的 values 值不同)。如果每次都需要经过上面的语法解析、SQL优化、SQL编译等,则效率就明显不行了。如下图:
预编译SQL,编译一次之后会将编译后的SQL语句缓存起来,后面再次执行这条语句时,不会再次编译(只是输入的参数不同),省去了解析优化等过程,以此来提高效率。
(2)#{} 更安全 (防止SQL注入)
SQL注入:是通过操作输入的数据来修改事先定义好的SQL语句,以达到执行代码对服务器进行攻击的方法。
sql注⼊代码: ' or 1='1
USerInfoMapper接口代码:
@Mapper
public interface UserInfoMapper {
@Select("select * from userinfo where username = '${username}'")
List<UserInfo> selectUserName(String username);
}测试类代码如下:(正常访问情况)
@SpringBootTest
class UserInfoMapperTest {
@Autowired
private UserInfoMapper userInfoMapper;
@Test
void selectUserName() {
System.out.println(userInfoMapper.selectUserName("zhangsan"));
}
}运行结果:
测试类代码:(SQL注入场景)
@SpringBootTest
class UserInfoMapperTest {
@Autowired
private UserInfoMapper userInfoMapper;
@Test
void selectUserName() {
System.out.println(userInfoMapper.selectUserName("' or 1='1"));
}
}运行结果如下:
把表全部的信息都打印出来了。
SQL注入后的SQL语句如下:
select * from userinfo where username = '' or 1='1'也就是说,如果username是空字符串,就打印是空字符串的,不是就为真,会打印userinfo表的全部信息。所以用于查询的字段,尽量使用 #{} 预查询的方式。
SQL注入是一种非常常见的数据库攻击手段,SQL注入漏洞也是网络世界中最普遍的漏洞之一。如果发生在用户登录场景中,密码输入为 ' or 1='1,就可能完成登录(不是一定会发生的场景,需要看登录代码如何写)。
控制层:UserController
@RequestMapping("user")
@RestController
public class UserController {
@Autowired
private UserService userService;
@RequestMapping("/login")
public boolean login(String name, String password) {
UserInfo userInfo = userService.queryUserByPassword(name, password);
if(userInfo != null) {
return true;
}
return false;
}
}业务层:UserService
@Service
public class UserService {
@Autowired
private UserInfoMapper userInfoMapper;
public UserInfo queryUserByPassword(String name, String password) {
List<UserInfo> userInfos = userInfoMapper.queryUserByPassword(name, password);
if(userInfos != null && userInfos.size() > 0) {
return userInfos.get(0);
}
return null;
}
}
数据层:UserInfoMapper
@Mapper
public interface UserInfoMapper {
@Select("select username, `password`, age, gender, phone from userinfo where username= '${name}' and password='${password}' ")
List<UserInfo> queryUserByPassword(String name, String password);
}运行项目,浏览器访问:127.0.0.1:8080/user/login?name=admin&password=admin
接下来访问SQL注⼊的代码:password 设置为 ' or 1='1
访问:http://127.0.0.1:8080/user/login?name=admin&password=' or 1='1,结果如下:
也登录成功了。这就是SQL注入所带来的风险。
三、排序功能
从上面的例子中,可以得出结论:${} 会有SQL注入的风险,所以我们尽量使用 #{} 完成查询。既然如此,是不是 ${} 就没有存在的必要性了呢?当然不是,接下来我们看 ${} 的使用场景。京东商品的价格排序
UserinfoMapper接口代码如下:(使用 ${} )
@Mapper
public interface UserInfoMapper {
@Select("select id, username, age, gender, phone, delete_flag, create_time, update_time " +
"from userinfo order by id ${sort} ")
List<UserInfo> queryAllUserBySort(String sort);
}测试类代码如下:
@SpringBootTest
class UserInfoMapperTest {
@Autowired
private UserInfoMapper userInfoMapper;
@Test
void queryAllUserBySort() {
userInfoMapper.queryAllUserBySort("desc");
}
} 运行测试类代码,结果如下:(按照了id逆序方式展示)
UserinfoMapper接口代码改变:(使用 #{} )
@Mapper
public interface UserInfoMapper {
@Select("select id, username, age, gender, phone, delete_flag, create_time, update_time " +
"from userinfo order by id #{sort} ")
List<UserInfo> queryAllUserBySort(String sort);
}运行测试类,报错了,报错信息如下:
可以看到,#{} 传参数是通过 ? 占位,#{} 根据参数类型判断是否拼接引号 ' ',如果参数类型是String,就会加上引号。所以SQL语句传参的desc会带有引号,但是SQL语句的desc是不带引号的,所以报错了,其转换后SQL语句如下:
select id, username, age, gender, phone, delete_flag, create_time, update_time from userinfo order by id 'desc'除此之外,还有表名作为参数时,也只能使用 ${} 。
使用 ${} 有SQL注入的风险,怎样解决呢?按上面的这种情况举例子
1、让后端进行校验(在Controller这就直接进行规定参数的内容),传进来的参数必须是asc或者desc。
2、不传递参数,Mapper接口代码,@Select注解只直接使用asc或者desc,没有参数的传递,如图:
3、使用第三方工具辅助。
四、like查询
UserInfoMapper接口代码如下:
@Mapper
public interface UserInfoMapper {
@Select("select id, username, age, gender, phone, delete_flag, create_time, update_time "
+ "from userinfo where username like '%#{key}%' ")
List<UserInfo> queryAllUserByLike(String key);
} 直接使用 #{} 会报错,把 #{} 改成 ${} 可以正确查出来,但是 ${} 存在SQL注⼊的问题,所以不能直接使⽤ ${}。
解决办法:使⽤ mysql 的内置函数 concat() 来处理,代码如下:
@Mapper
public interface UserInfoMapper {
@Select("select id, username, age, gender, phone, delete_flag, create_time, update_time "
+ "from userinfo where username like concat('%',#{key},'%') ")
List<UserInfo> queryAllUserByLike(String key);
}测试类代码如下:
@SpringBootTest
class UserInfoMapperTest {
@Autowired
private UserInfoMapper userInfoMapper;
@Test
void queryAllUserByLike() {
System.out.println(userInfoMapper.queryAllUserByLike2("zhangsan"));
}
}执行测试类代码,结果如下:
比直接使用 ${} 好,其代码如下:下面这种写法有SQL注入的风险。
@Mapper
public interface UserInfoMapper {
@Select("select id, username, age, gender, phone, delete_flag, create_time, update_time "
+ "from userinfo where username like '%${key}%' ")
List<UserInfo> queryAllUserByLike(String key);
}五、数据库连接池
上面的Mybatis代码练习中,我们其实使用了数据库连接池技术,避免频繁的创建连接,销毁连接,下面我们来了解数据库连接池。
1、介绍
数据库连接池负责分配、管理和释放数据库连接,它允许应用程序重复使用一个现有的数据库连接,而不是再重新建立一个。
没有使用数据库连接池的情况:每次执行SQL语句,要先创建一个新的连接对象,然后执行SQL语句,SQL语句执行完,再关闭连接对象释放资源,这种重复创建连接、消耗连接的操作,比较消耗资源。
使用数据库连接池的情况:程序启动时,会再数据库连接池中创建一定数量的Connection对象,当客户端请求数据库连接池,会从数据库连接池中获取Connection对象,然后执行SQL,SQL语句执行完,再把Connection归还给连接池。
优点:1、减少了网络开销 2、资源重用 3、提升了系统的性能
2、使用
常见的数据库连接池:C3P0、DBCP、Druid、Hikari,目前比较流行的是Hikari、Druid。
SpringBoot默认使用的数据库连接池就是:Hikari,如图:
Hikari 是⽇语"光"的意思(ひかり),Hikari也是以追求性能极致为⽬标。
如果我们想把默认的数据库连接池切换为Druid,只需要引入相关依赖即可,pom.xml代码如下:
<!-- druid启动器的依赖 -->
<dependency>
<groupId>com.alibaba</groupId>
<artifactId>druid-spring-boot-3-starter</artifactId>
<version>1.2.21</version>
</dependency>
再次运行上面like查询的代码,结果如下:
参考官方地址:druid/druid-spring-boot-starter at master · alibaba/druid · GitHub
Druid连接池是阿里巴巴开源的数据库连接池项目。
功能强大,性能优秀,是Java语言最好的数据库连接池之一。
二者对比,参考:Hikaricp和Druid对比_数据库_晚风暖-华为云开发者联盟 (csdn.net)
六、总结
1、MySQL开发企业规范
(1)表名,字段名使⽤小写字⺟或数字,单词之间以下划线分割。尽量避免出现数字开头或者两个下划线中间只出现数字。数据库字段名的修改代价很大,所以字段名称需要慎重考虑。
MySQL 在 Windows 下不区分大小写,但在 Linux 下默认是区分大小写。因此,数据库名,表名,字段名都不允许出现任何大写字母,避免节外⽣枝。
正例:aliyun_admin,rdc_config,level3_name
反例:AliyunAdmin,rdcConfig,level_3_name
(2)表必备三字段:id,create_time,update_time
id 为主键,类型为 bigint unsigned,单表时⾃增,步长为 1。
create_time,update_time 的类型均为 datetime 类型,create_time表示创建时间,
update_time表⽰更新时间。
有同等含义的字段即可,字段名不做强制要求。
(3)在表查询中,避免使⽤ * 作为查询的字段列表,标明需要哪些字段
1. 增加查询分析器解析成本。
2. 增减字段容易与 resultMap 配置不⼀致。
3. ⽆⽤字段增加⽹络消耗,尤其是 text 类型的字段。
2、#{} 和 ${} 区别
(1)#{}:预编译处理,${}:字符直接替换。
(2)#{} 可以防止SQL注入,${} 存在SQL注入的风险,查询语句中,可以使用 #{},推荐使用 #{}
(3)但是一些场景,#{} 不能完成,比如 排序 功能,表名、字段名作为参数时,这些情况需要使用 ${} 。
(4)模糊查询虽然可以使用 ${} 完成,但因为存在 SQL注入 的问题,所有通常使用MySQL内置函数concat 来完成。
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
