1、Mybatis简介
Mybatis是一种持久层框架,类似于JDBC访问数据库的操作,
我们说JDBC使用到的对象有Connection对象,PreparedStatement对象,ResultSet对象。
而Mybatis框架的核心对象有SqlSessionFactoryBuilder对象,SqlSessionFactory对象,SqlSession对象。
并且myibatis框架和hibernate框架最大的区别就在于mybatis它的灵活性比较高。
2、Mybatis特点
1.基于SQL语法,简单易学
2.SQL语句封装在配置文件中,便于统一管理与维护,降低程序的耦合度
3、Mybatis组成部分
3.1 核心对象
SqlSessionFactoryBuilder:
SqlSessionFactory:MyBatis应用的核心
SqlSession
3.2 核心配置文件
mybatis-config.xml
<environments default="development"> //默认的运行环境 ID
<environment id="development"> //运行环境 ID
<transactionManager type="JDBC"/> //事务管理器配置
<dataSource type="POOLED"> //数据源配置
<property name="driver" value="com.mysql.jdbc.Driver"/>
<property name="url" value="jdbc:mysql://ip/数据库名"/>
<property name="user" value="root"/>
<property name="password" value="密码"/>
</dataSource>
</environment>
</environments>
3.3 sql映射文件
<mapper namespace="cn.dao.UserMapper">
<select id="count" resultType="java.lang.Integer">//返回值需一致
select count(1) from user
</select>
</mapper>
4.项目准备
4.1先创建Maven项目导入依赖
<dependency>
<groupId>org.mybatis</groupId>
<artifactId>mybatis</artifactId>
<version>3.5.1</version>
</dependency>
<dependency>
<groupId>mysql</groupId>
<artifactId>mysql-connector-java</artifactId>
<version>5.1.36</version>
</dependency>
4.2 添加日志 mybatis-config.xml
<!--setttings:控制mybatis全局配置行为-->
<settings>
<!--设置mybatis输出日志-->
<setting name="logImpl" value="STDOUT_LOGGING"/>
</settings>
4.3工具类 util/MybatisUtil.java
public class MybatisUtil {
private static SqlSessionFactory factory = null;
static {
String config = "mybatis-config.xml";
try {
InputStream in = Resources.getResourceAsStream(config);
SqlSessionFactoryBuilder builder = new SqlSessionFactoryBuilder();
factory = builder.build(in);
} catch (IOException e) {
e.printStackTrace();
}
}
// 获取SqlSession
public static SqlSession getSqlSession(){
SqlSession sqlSession = null;
if(factory != null){
sqlSession = factory.openSession();
}
return sqlSession;
}
}
4.4 mybatis-config.xml
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE configuration
PUBLIC "-//ibatis.apache.org//DTD Config 3.0//EN"
"http://ibatis.apache.org/dtd/ibatis-3-config.dtd">
<configuration>
<properties resource="jdbc.properties"></properties>
<!--setttings:控制mybatis全局配置行为-->
<settings>
<!--设置mybatis输出日志-->
<setting name="logImpl" value="STDOUT_LOGGING"/>
</settings>
<!--环境配置:数据库的连接信息-->
<!--default:中配置的值需要和某个environment配置的id相同,
通知mybatis使用具体哪一个数据库的连接信息,即具体访问对应的数据库-->
<environments default="development">
<!--environment:一个数据库信息的配置,环境-->
<!--id属性:一个唯一值,自定义,表示环境的名称-->
<environment id="development">
<!--transactionManager属性:mybatis的事务类型-->
<transactionManager type="JDBC" />
<!--dataSoure属性:代表数据源,连接数据库-->
<!--type属性:JDBC 表示使用的是使用连接池的数据源-->
<dataSource type="POOLED">
<!--配置驱动-->
<property name="driver" value="${jdbc.driver}"/>
<!--配置连接数据库的url字符串-->
<property name="url" value="${jdbc.url}"/>
<!--配置连接数据库的用户名-->
<property name="username" value="${jdbc.user}"/>
<!--配置连接数据库的密码-->
<property name="password" value="${jdbc.password}"/>
</dataSource>
</environment>
</environments>
<!--sql映射文件标签-->
<mappers>
<!--reource:从类路径开始的路径信息:target/clasess(类路径)-->
<mapper resource="cn/kgc/mapper/PersonMapper.xml"/>
</mappers>
</configuration>
4.5 Test测试
@Test
public void testHelloWorld() throws IOException {
String config = "mybatis-config.xml";
SqlSession sqlSession = MybatisUtil.getSqlSession();
Integer count = sqlSession.getMapper(PersonMapper.class).findCount();
System.out.println("count:"+count);
sqlSession.close();
}
5.#和$不同应用场景
#:占位符 语法: 替换值 安全 预处理之后可以预防SQL注入 性能提高 把每次预编译后产生的preparedStatement对象缓存,以便下次直接使用
$: 字符串替换 语法: 替换表名/列名/不同列排序等 不安全 在预编译之前就已经被替换,有被注入的风险 一般用在order by, limit, group by等场所
如下例:
如果传入的username 为 a' or '1=1
,那么使用${}处理后直接替换字符串的sql就解析为:
select * from t_user where username = 'a' or '1=1' ;
这样的话所有的用户数据就被查出来了,这样就属于SQL注入。
如果使用#{},经过sql动态解析和预编译,会把单引号转义为’
那么sql最终解析为:
select * from t_user where username = "a\' or \'1=1 ";
//这样会查不出任何数据,有效阻止sql注入