Mybatis入门——其他查询操作和数据库连接池(4)

目录

一、多表查询

二、#{} 和 ${}

1、#{} 和 ${} 的使用

(1)Integer类型的参数

#{} 的使用

${} 的使用

(2)使用String类型的参数

#{} 的使用

${} 的使用

小结:

2、#{} 和 ${} 的区别

(1)#{} 的性能更高

(2)#{} 更安全 (防止SQL注入)

三、排序功能

四、like查询

五、数据库连接池

1、介绍

2、使用

六、总结

1、MySQL开发企业规范

2、#{} 和 ${} 区别


准备工作:

        SQL语句:

-- 创建数据库
DROP DATABASE IF EXISTS mybatis_test;

CREATE DATABASE mybatis_test DEFAULT CHARACTER SET utf8mb4;

-- 使用数据数据
USE mybatis_test;

-- 创建表[用户表]
DROP TABLE IF EXISTS userinfo;
CREATE TABLE `userinfo` (
        `id` INT ( 11 ) NOT NULL AUTO_INCREMENT,
        `username` VARCHAR ( 127 ) NOT NULL,
        `password` VARCHAR ( 127 ) NOT NULL,
        `age` TINYINT ( 4 ) NOT NULL,
        `gender` TINYINT ( 4 ) DEFAULT '0' COMMENT '1-男 2-女 0-默认',
        `phone` VARCHAR ( 15 ) DEFAULT NULL,
        `delete_flag` TINYINT ( 4 ) DEFAULT 0 COMMENT '0-正常, 1-删除',
        `create_time` DATETIME DEFAULT now(),
        `update_time` DATETIME DEFAULT now(),
        PRIMARY KEY ( `id` ) 
) ENGINE = INNODB DEFAULT CHARSET = utf8mb4; 

-- 添加用户信息
INSERT INTO mybatis_test.userinfo ( username, `password`, age, gender, phone )
VALUES ( 'admin', 'admin', 18, 1, '18612340001' );
INSERT INTO mybatis_test.userinfo ( username, `password`, age, gender, phone )
VALUES ( 'zhangsan', 'zhangsan', 18, 1, '18612340002' );
INSERT INTO mybatis_test.userinfo ( username, `password`, age, gender, phone )
VALUES ( 'lisi', 'lisi', 18, 1, '18612340003' );
INSERT INTO mybatis_test.userinfo ( username, `password`, age, gender, phone )
VALUES ( 'wangwu', 'wangwu', 18, 1, '18612340004' );


-- 创建文章表
DROP TABLE IF EXISTS articleinfo;
        
CREATE TABLE articleinfo (
        id INT PRIMARY KEY auto_increment,
        title VARCHAR ( 100 ) NOT NULL,
        content TEXT NOT NULL,
        uid INT NOT NULL,
        delete_flag TINYINT ( 4 ) DEFAULT 0 COMMENT '0-正常, 1-删除',
        create_time DATETIME DEFAULT now(),
        update_time DATETIME DEFAULT now() 
) DEFAULT charset 'utf8mb4';

-- 插入测试数据
INSERT INTO articleinfo ( title, content, uid ) VALUES ( 'Java', 'Java正文', 1 );

        对应实体类model:

@Data
public class ArticleInfo {
    private Integer id;
    private String title;
    private String content;
    private Integer uid;
    private Integer deleteFlag;;
    private Date createTime;
    private Date updateTime;
    //用户相关的信息
    private String username;
    private Integer gender;
}

        yml配置:

# 数据库配置
spring:
  datasource:
    url: jdbc:mysql://127.0.0.1:3306/mybatis_test?characterEncoding=utf8&useSSL=false
    username: root
    password: 1234
    driver-class-name: com.mysql.cj.jdbc.Driver

mybatis:
  # 配置 mybatis xml 的文件路径,在 resources/mapper 创建所有表的 xml 文件
  mapper-locations: classpath:mybatis/**Mapper.xml
  configuration: # 配置打印 MyBatis日志
    log-impl: org.apache.ibatis.logging.stdout.StdOutImpl
    map-underscore-to-camel-case: true #配置驼峰自动转换

一、多表查询

        多表查询和单表查询差不多,只是SQL不同,下面是xml的配置文件:

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE mapper PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN" "http://mybatis.org/dtd/mybatis-3-mapper.dtd">
<mapper namespace="com.example.mybatisdemo3.mapper.ArticleInfoMapper">

    <select id="selectArticleAndUserById" resultType="com.example.mybatisdemo3.model.ArticleInfo">
        select ta.*, tb.username, tb.gender from articleinfo ta
        left join userinfo tb
        on ta.uid = tb.id
        where ta.id = #{id}
    </select>

</mapper>

        ArticleInfoMapper接口代码如下:

@Mapper
public interface ArticleInfoMapper {
    List<ArticleInfo> selectArticleAndUserById(Integer id);
}

        测试类代码如下:

@SpringBootTest
class ArticleInfoMapperTest {
    @Autowired
    private ArticleInfoMapper articleInfoMapper;
    @Test
    void selectArticleAndUserById() {
        System.out.println(articleInfoMapper.selectArticleAndUserById(1));
    }
}

        articleInfo和userinfo表如下:

        运行测试类代码,结果如下:


二、#{} 和 ${}

        MyBatis 参数赋值有两种⽅式,咱们前⾯使⽤了 #{} 进⾏赋值,接下来我们看下⼆者的区别。

1、#{} 和 ${} 的使用

(1)Integer类型的参数

#{} 的使用

        ArticleInfoMapper接口代码:

@Mapper
public interface UserInfoMapper {
    @Select("select * from userinfo where id = #{id}")
    List<UserInfo> selectId(Integer id);
}

        测试类代码如下:

@SpringBootTest
class UserInfoMapperTest {
    @Autowired
    private UserInfoMapper userInfoMapper;
    @Test
    void selectId() {
        userInfoMapper.selectId(1);
    }
}

        运行测试类代码,结果如下:

        结果没有毛病。#{} 使用的是预编译SQL,通过 ? 占位的方式,提前对SQL进行编译,然后把参数填充到SQL语句中这里的 #{} 会根据参数类型,自动拼接引号 ' '

${} 的使用

        UserInfoMapper接口代码如下:

@Mapper
public interface UserInfoMapper {
    @Select("select * from userinfo where id = ${id}")
    List<UserInfo> selectId(Integer id);
}

        测试类代码如下:

@SpringBootTest
class UserInfoMapperTest {
    @Autowired
    private UserInfoMapper userInfoMapper;
    @Test
    void selectId() {
        userInfoMapper.selectId(1);
    }
}

        运行测试类代码,结果如下:

        也没有毛病。

(2)使用String类型的参数

#{} 的使用

        UserInfoMapper接口代码:

@Mapper
public interface UserInfoMapper {
    @Select("select * from userinfo where username = ${username}")
    List<UserInfo> selectUserName(String username);
}

        测试类代码如下:

@SpringBootTest
class UserInfoMapperTest {
    @Autowired
    private UserInfoMapper userInfoMapper;
    @Test
    void selectUserName() {
        userInfoMapper.selectUserName("zhangsan");
    }
}

        运行测试类代码,结果如下:

        没有毛病。

${} 的使用

        USerInfoMapper接口代码:

@Mapper
public interface UserInfoMapper {
    @Select("select * from userinfo where username = ${username}")
    List<UserInfo> selectUserName(String username);
}

        测试类代码:

@SpringBootTest
class UserInfoMapperTest {
    @Autowired
    private UserInfoMapper userInfoMapper;
    @Test
    void selectUserName() {
        userInfoMapper.selectUserName("zhangsan");
    }
}

        运行测试类,发现报错了,报错信息如下:

        是BadSql,zhangsan应该是一个字符串,但拼接SQL的时候没有加引号说明 ${} 是直接把参数传进去了,并没有添加引号 ' ',进而报错了

小结:

1#{} 使用的是预编译SQL,通过 ? 占位的方式,提前对SQL进行编译,然后把参数填充到SQL语句中。#{} 会根据参数类型,自动拼接引号 ' '

2${} 会直接进行字符替换,一起对SQL进行编译。如果参数为字符串,需要加上引号 ' ',

参数为数字类型时,也可以加上,查询结果不变,但是可能会导致索引失效,性能下降

2、#{} 和 ${} 的区别

        #{} 和 ${} 的区别就是 预编译SQL和即时SQL的区别

当客户发送一条SQL语句给服务器后,大致流程如下:

1、解析语法和语义,校验SQL语句是否正确。

2、优化SQL语句,指定执行计划。

3、执行并返回结果。

(一条SQL如果走上述流程处理,我们称之为 Immediate Statements(即时SQL) )

(1)#{} 的性能更高

        绝大多数情况下,某一条SQL语句可能会被反复调用执行,或者每次执行的时候只有个别的值不同(比如select 的 where 子句值不同,update 的 set 子句值不同,insert 的 values 值不同)。如果每次都需要经过上面的语法解析、SQL优化、SQL编译等,则效率就明显不行了。如下图:

        预编译SQL,编译一次之后会将编译后的SQL语句缓存起来,后面再次执行这条语句时,不会再次编译(只是输入的参数不同),省去了解析优化等过程,以此来提高效率

(2)#{} 更安全 (防止SQL注入)

        SQL注入是通过操作输入的数据来修改事先定义好的SQL语句,以达到执行代码对服务器进行攻击的方法

        sql注⼊代码: ' or 1='1

        USerInfoMapper接口代码:

@Mapper
public interface UserInfoMapper {
    @Select("select * from userinfo where username = '${username}'")
    List<UserInfo> selectUserName(String username);
}

        测试类代码如下:(正常访问情况

@SpringBootTest
class UserInfoMapperTest {
    @Autowired
    private UserInfoMapper userInfoMapper;
    @Test
    void selectUserName() {
        System.out.println(userInfoMapper.selectUserName("zhangsan"));
    }
}

        运行结果:

        测试类代码:(SQL注入场景

@SpringBootTest
class UserInfoMapperTest {
    @Autowired
    private UserInfoMapper userInfoMapper;
    @Test
    void selectUserName() {
        System.out.println(userInfoMapper.selectUserName("' or 1='1"));
    }
}

        运行结果如下:

        把表全部的信息都打印出来了。

        SQL注入后的SQL语句如下:

select * from userinfo where username = '' or 1='1'

        也就是说,如果username是空字符串,就打印是空字符串的,不是就为真,会打印userinfo表的全部信息。所以用于查询的字段,尽量使用 #{} 预查询的方式

        SQL注入是一种非常常见的数据库攻击手段,SQL注入漏洞也是网络世界中最普遍的漏洞之一如果发生在用户登录场景中,密码输入为 ' or 1='1,就可能完成登录(不是一定会发生的场景,需要看登录代码如何写)

控制层:UserController

@RequestMapping("user")
@RestController
public class UserController {
    @Autowired
    private UserService userService;
    @RequestMapping("/login")
    public boolean login(String name, String password) {
        UserInfo userInfo = userService.queryUserByPassword(name, password);
        if(userInfo != null) {
            return true;
        }
        return false;
    }
}

业务层:UserService

@Service
public class UserService {
    @Autowired
    private UserInfoMapper userInfoMapper;

    public UserInfo queryUserByPassword(String name, String password) {
        List<UserInfo> userInfos = userInfoMapper.queryUserByPassword(name, password);
        if(userInfos != null && userInfos.size() > 0) {
            return userInfos.get(0);
        }
        return null;
    }
}

数据层:UserInfoMapper

@Mapper
public interface UserInfoMapper {
    @Select("select username, `password`, age, gender, phone from userinfo where username= '${name}' and password='${password}' ")
    List<UserInfo> queryUserByPassword(String name, String password);
}

        运行项目,浏览器访问:127.0.0.1:8080/user/login?name=admin&password=admin

        接下来访问SQL注⼊的代码:password 设置为  ' or 1='1

        访问:http://127.0.0.1:8080/user/login?name=admin&password=' or 1='1,结果如下:

        也登录成功了。这就是SQL注入所带来的风险。


三、排序功能

        从上面的例子中,可以得出结论:${} 会有SQL注入的风险,所以我们尽量使用 #{} 完成查询。既然如此,是不是 ${} 就没有存在的必要性了呢?当然不是,接下来我们看 ${} 的使用场景。京东商品的价格排序

        UserinfoMapper接口代码如下:(使用 ${} )

@Mapper
public interface UserInfoMapper {
    @Select("select id, username, age, gender, phone, delete_flag, create_time, update_time " +
            "from userinfo order by id ${sort} ")
    List<UserInfo> queryAllUserBySort(String sort);
}

        测试类代码如下:

@SpringBootTest
class UserInfoMapperTest {
    @Autowired
    private UserInfoMapper userInfoMapper;
    @Test
    void queryAllUserBySort() {
        userInfoMapper.queryAllUserBySort("desc");
    }
}

        运行测试类代码,结果如下:(按照了id逆序方式展示)

        UserinfoMapper接口代码改变:(使用 #{} )

@Mapper
public interface UserInfoMapper {
    @Select("select id, username, age, gender, phone, delete_flag, create_time, update_time " +
            "from userinfo order by id #{sort} ")
    List<UserInfo> queryAllUserBySort(String sort);
}

        运行测试类,报错了,报错信息如下:

        可以看到,#{} 传参数是通过 ? 占位,#{} 根据参数类型判断是否拼接引号 ' ',如果参数类型是String,就会加上引号所以SQL语句传参的desc会带有引号,但是SQL语句的desc是不带引号的,所以报错了,其转换后SQL语句如下:

select id, username, age, gender, phone, delete_flag, create_time, update_time from userinfo order by id 'desc'

        除此之外,还有表名作为参数时,也只能使用 ${} 。

        使用 ${} 有SQL注入的风险,怎样解决呢?按上面的这种情况举例子

1让后端进行校验(在Controller这就直接进行规定参数的内容),传进来的参数必须是asc或者desc

2不传递参数,Mapper接口代码,@Select注解只直接使用asc或者desc,没有参数的传递,如图:

3使用第三方工具辅助


四、like查询

        UserInfoMapper接口代码如下:

@Mapper
public interface UserInfoMapper {
    @Select("select id, username, age, gender, phone, delete_flag, create_time, update_time "
            + "from userinfo where username like '%#{key}%' ")
    List<UserInfo> queryAllUserByLike(String key);
}

        直接使用 #{} 会报错,把 #{} 改成 ${} 可以正确查出来,但是 ${} 存在SQL注⼊的问题,所以不能直接使⽤ ${}
        解决办法:使⽤ mysql 的内置函数 concat() 来处理,代码如下:

@Mapper
public interface UserInfoMapper {
    @Select("select id, username, age, gender, phone, delete_flag, create_time, update_time "
            + "from userinfo where username like concat('%',#{key},'%') ")
    List<UserInfo> queryAllUserByLike(String key);
}

        测试类代码如下:

@SpringBootTest
class UserInfoMapperTest {
    @Autowired
    private UserInfoMapper userInfoMapper;
    @Test
    void queryAllUserByLike() {
        System.out.println(userInfoMapper.queryAllUserByLike2("zhangsan"));
    }
}

        执行测试类代码,结果如下:

        比直接使用 ${} 好,其代码如下:下面这种写法有SQL注入的风险。

@Mapper
public interface UserInfoMapper {
    @Select("select id, username, age, gender, phone, delete_flag, create_time, update_time "
            + "from userinfo where username like '%${key}%' ")
    List<UserInfo> queryAllUserByLike(String key);
}

五、数据库连接池

        上面的Mybatis代码练习中,我们其实使用了数据库连接池技术,避免频繁的创建连接,销毁连接,下面我们来了解数据库连接池。

1、介绍

        数据库连接池负责分配、管理和释放数据库连接,它允许应用程序重复使用一个现有的数据库连接,而不是再重新建立一个

没有使用数据库连接池的情况每次执行SQL语句,要先创建一个新的连接对象,然后执行SQL语句,SQL语句执行完,再关闭连接对象释放资源,这种重复创建连接、消耗连接的操作,比较消耗资源

使用数据库连接池的情况程序启动时,会再数据库连接池中创建一定数量的Connection对象,当客户端请求数据库连接池,会从数据库连接池中获取Connection对象,然后执行SQL,SQL语句执行完,再把Connection归还给连接池

优点1、减少了网络开销       2、资源重用       3、提升了系统的性能

2、使用

        常见的数据库连接池:C3P0、DBCP、Druid、Hikari,目前比较流行的是Hikari、Druid。

        SpringBoot默认使用的数据库连接池就是:Hikari,如图:

        Hikari 是⽇语"光"的意思(ひかり),Hikari也是以追求性能极致为⽬标。
        如果我们想把默认的数据库连接池切换为Druid,只需要引入相关依赖即可,pom.xml代码如下:

        <!-- druid启动器的依赖  -->
        <dependency>
            <groupId>com.alibaba</groupId>
            <artifactId>druid-spring-boot-3-starter</artifactId>
            <version>1.2.21</version>
        </dependency>

        再次运行上面like查询的代码,结果如下:

        参考官方地址:druid/druid-spring-boot-starter at master · alibaba/druid · GitHub

Druid连接池是阿里巴巴开源的数据库连接池项目。

功能强大,性能优秀,是Java语言最好的数据库连接池之一。

学习文档:首页 · alibaba/druid Wiki · GitHub

        二者对比,参考:Hikaricp和Druid对比_数据库_晚风暖-华为云开发者联盟 (csdn.net)


六、总结

1、MySQL开发企业规范

(1)表名,字段名使⽤小写字⺟或数字,单词之间以下划线分割尽量避免出现数字开头或者两个下划线中间只出现数字数据库字段名的修改代价很大,所以字段名称需要慎重考虑

MySQL 在 Windows 下不区分大小写,但在 Linux 下默认是区分大小写。因此,数据库名,表名,字段名都不允许出现任何大写字母,避免节外⽣枝。
正例:aliyun_admin,rdc_config,level3_name
反例:AliyunAdmin,rdcConfig,level_3_name

(2)表必备三字段id,create_time,update_time

id 为主键,类型为 bigint unsigned,单表时⾃增,步长为 1。
create_time,update_time 的类型均为 datetime 类型,create_time表示创建时间,
update_time表⽰更新时间。
有同等含义的字段即可,字段名不做强制要求。

(3)在表查询中,避免使⽤ * 作为查询的字段列表,标明需要哪些字段

1. 增加查询分析器解析成本。
2. 增减字段容易与 resultMap 配置不⼀致。
3. ⽆⽤字段增加⽹络消耗,尤其是 text 类型的字段。

2、#{} 和 ${} 区别

(1)#{}:预编译处理,${}:字符直接替换

(2)#{} 可以防止SQL注入,${} 存在SQL注入的风险,查询语句中,可以使用 #{},推荐使用 #{}

(3)但是一些场景,#{} 不能完成,比如 排序 功能,表名、字段名作为参数时,这些情况需要使用 ${}

(4)模糊查询虽然可以使用 ${} 完成,但因为存在 SQL注入 的问题,所有通常使用MySQL内置函数concat 来完成

  • 50
    点赞
  • 32
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 23
    评论
评论 23
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

tao滔不绝

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值