mybatis遇到的坑及总结
常用操作
MyBatis实现数据操作
两种方式
1.使用接口,不需要实现接口(不需要创建DAO)。
(1)创建接口,并提供调用方法。
(2)通过接口调用方法前,要先“创建”:
userInf=(UserInf)sqlSession.getMapper(UserInf.class);
否则会报出空指针异常。
(3)对sqlSession进行创建
sqlSession = getSession().openSession();
(4)使用:
2.利用SqlSession提供的增删改查的方法进行操作(不需要接口):
1、对sqlSession进行创建
sqlSession = getSession().openSession();
2、直接使用:
其中的参数“selUser”是在xml中配置的select id=”selUser”;
批量更新
批量删除
批量插入
注意点
1、配置文件里面的isequal标签,property是变量名,compareValue是匹配值
<isEqual property="status" compareValue="1">
and (B.ACTIVE_TIME < to_date('2037-01-01 12:12:12','yyyy-MM-dd HH24:MI:SS'))
</isEqual >
解释:当变量status值为1的时候,会加上下面这句sql语句。在配置文件中,也可以使用日期转换函数:to_date
resultType和resultMap
一般如果项目运行报Could not find result map java.util.Map 的话就是错误的把<select id="queryXXX" resultMap="java.util.Map" >
写成了
<select id="queryXXX" resultType="java.util.Map">
而他们又有什么区别呢:resultType是直接表示返回类型的,而resultMap则是对外部ResultMap的引用,但是resultType跟resultMap不能同时存在。
在MyBatis进行查询映射时,其实查询出来的每一个属性都是放在一个对应的Map里面的,其中键是属性名,值则是其对应的值。
①当提供的返回类型属性是resultType时,MyBatis会将Map里面的键值对取出赋给resultType所指定的对象对应的属性。所以其实MyBatis的每一个查询映射的返回类型都是ResultMap,只是当提供的返回类型属性是resultType的时候MyBatis对自动的给把对应的值赋给resultType所指定对象的属性。
②当提供的返回类型是resultMap时,因为Map不能很好表示领域模型,就需要自己再进一步的把它转化为对应的对象,这常常在复杂查询中很有作用。
#{} 以及 ${}区别
动态 sql 是 mybatis 的主要特性之一,在 mapper 中定义的参数传到 xml 中之后,在查询之前 mybatis 会对其进行动态解析。mybatis 为我们提供了两种支持动态 sql 的语法:#{} 以及 ${}。
#{}表示一个占位符号,通过#{}可以实现preparedStatement向占位符中设置值,自动进行java类型和jdbc类型转换,#{}可以有效防止sql注入。#{}可以接收简单类型值或pojo属性值。如果parameterType传输单个简单类型值,#{}括号中可以是value或其它名称。
表 示 拼 接 s q l 串 , 通 过 {}表示拼接sql串,通过 表示拼接sql串,通过{}可以将parameterType传入的内容拼接在sql中且不进行jdbc类型转换, 可 以 接 收 简 单 类 型 值 或 p o j o 属 性 值 , 如 果 p a r a m e t e r T y p e 传 输 单 个 简 单 类 型 值 , {}可以接收简单类型值或pojo属性值,如果parameterType传输单个简单类型值, 可以接收简单类型值或pojo属性值,如果parameterType传输单个简单类型值,{}括号中只能是value。
在下面的语句中,如果 传入的的值为 单个字符,如传入的值为xiaoming,则两种方式无任何区别:
例:
select * from user where name = #{nameString};
select * from user where name = ${nameString};
其解析之后的结果均为
select * from user where name = 'xiaoming';
但是 #{} 和 ${} 在预编译中的处理是不一样的。#{} 在预处理时,会把参数部分用一个占位符 ? 代替,变成如下的 sql 语句:
select * from user where name = ?;
而 ${} 则只是简单的字符串替换,在动态解析阶段,该 sql 语句会被解析成
select * from user where name = ‘zhangsan’;
以上,#{} 的参数替换是发生在 DBMS 中,而 ${} 则发生在动态解析过程中。
但是我们在使用过程中是要优先使用 #{}。因为 ${} 会导致 sql 注入的问题。看下面的例子:
select * from ${tableName} where name = #{name}
在这个例子中,如果tableName传入的字符串为 user; delete user; –
则动态解析之后 sql 如下:
select * from user; delete user; -- where name = ?;
–之后的语句被注释掉,而原本查询用户的语句变成了查询所有用户信息+删除用户表的语句,会对数据库造成重大损伤,极大可能导致服务器宕机。
但是表名用参数传递进来的时候,只能使用 ${} ,具体原因可以自己做个猜测,去验证。这也提醒我们在这种用法中要小心sql注入的问题。
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
