【MyBatis系列】Mybatis多表查询与动态SQL

已于 2022-10-20 22:26:39 修改
阅读量2.7k 收藏 42
点赞数 23
分类专栏: # MyBatis系列 JavaEE进阶 MySQL 文章标签: mybatis 数据库 MySQL 动态sql 多表查询
于 2022-10-20 22:26:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_59139260/article/details/126160971
版权
本文深入探讨了MyBatis中的多表查询和动态SQL特性。介绍了参数占位符的区别,强调了SQL注入问题及其防范,讲解了like查询的正确做法,并详细阐述了resultType与resultMap在多表查询中的应用。此外,文章通过实例展示了如何进行一对一和一对多表映射,以及动态SQL的if、trim、where、set和foreach标签的使用,帮助读者掌握MyBatis高级查询技巧。
摘要由CSDN通过智能技术生成

⭐️前面的话⭐️

本篇文章将介绍使用MyBatis进行多表查询以及MyBatis的动态SQL特性。

📒博客主页:未见花闻的博客主页
🎉欢迎关注🔎点赞👍收藏⭐️留言📝
📌本文由未见花闻原创,CSDN首发!
📆首发时间:🌴2022年10月20日🌴
✉️坚持和努力一定能换来诗与远方!
💭参考书籍:无
💬参考在线编程网站:🌐牛客网🌐力扣
博主的码云gitee,平常博主写的程序代码都在里面。
博主的github,平常博主写的程序代码都在里面。
🍭作者水平很有限,如果发现错误,一定要及时告知作者哦!感谢感谢!

📌导航小助手📌

封面区

1.较复杂的查询操作

1.1 参数占位符 #{} 和 ${}

#{}:预处理符,如将id=#{2}替换为id=?,然后使用2替换?
${}:替换符,如将id=${2}替换为id=2

两种占位符都可以正常使用的场合:传入的参数类型是数值类型

使用${}

select * from userinfo where id=${
   id}
select * from userinfo where id=2

使用#{}

select * from userinfo where id=#{
   id}
select * from userinfo where id=?

对于这两种参数占位符,个人建议能使用#{}就使用#{},因为${}存在SQL注入的问题,以及如果传入的类型是字符串也会出类型。

只能使用#{}而不能使用${}的场合:传入参数类型为String

使用${}

select * from userinfo where username=${
   username}
//实际执行的语句
Preparing: select * from userinfo where username=张三

但是在sql中通过字符串来查询数据,是需要加上引号的,而使用${}生成的sql并没有带引号,因此不适用于字符串参数的sql。

使用#{}

select * from userinfo where username=#{
   username}
//实际执行语句
select * from userinfo where username=?

由于使用#{}是将目标参数替换为占位符,然后利用JDBC中的占位符机制实现sql语句的填充,所以使用#{}构造的sql是可以正常运行的,并且没有SQL注入的问题。

所以,#{}相比于${},它支持所有类型的参数,包括数值类与字符串类,而${}支持数值类型,不支持字符串类型的参数,但也可以在原来sql里面为${}外面加上一对引号。

select * from userinfo where username='${
   username}'
//实际执行语句
Preparing: select * from userinfo where username='张三'

当传递的参数为字符串类型的时候,虽然加上一对引号,使用${}也可以做到,但是${}存在SQL注入问题,所以仍然不推荐,有关SQL注入后面我们会介绍到。

大部分场合下,使用#{}都可以解决,但还是存在一小部分只能是${}来处理的。

如当我们需要按照升序或者逆序得到数据库查询结果的时候,这种场合就只能使用${},使用#{}会报错,我们来演示一下。

首先,我们在Mapper接口中声明一个方法:作用就是按照排序获取结果集

public List<UserInfo> getOrderList(@Param(value = "order") String order);

我们再去xml文件中去写sql语句:首先我们使用$进行演示

    <select id="getOrderList" resultType="com.example.demo.model.UserInfo">
        select * from userinfo order by createtime ${
   order};
    </select>

我们进行一个单元测试,单元测试代码很简单,就是调用sql,然后得到结果集:

    @Test
    void getOrderList() {
   
        List<UserInfo> userMappers = userMapper.getOrderList("desc");
        System.out.println(userMappers);
    }

单元测试结果:
可以正常查询,得到的结果与预期也是相同的。
1
我们再来试一试使用#{}来构造sql语句:

    <select id="getOrderList" resultType="com.example.demo.model.UserInfo">
        select * from userinfo order by createtime #{
   order};
    </select>

单元测试逻辑与代码不变,我们再来看看单元测试执行的一个结果:
2
我们发现程序报错了,这是因为使用了desc的字符串替换了占位符,而我们所需要的不是一个desc字符串,而是直接一个desc的关键字,所以sql也抛出了语法错误,最终执行的sql为:

select * from userinfo order by createtime ‘desc’;

期望执行的sql为:

select * from userinfo order by createtime desc;

所以在传递sql关键字的时候,不能使用#{},只能使用${}

在这里插入图片描述

1.2SQL注入

SQL注入就是使用${},使用一些特殊的语句,来达到非法获取数据的目的,如不通过正确的密码获取某账户的信息,下面我们来演示一下,就以登录的例子来演示,SQL注入可以在不知道密码的前提下登录成功,并且获取到用户的相关信息。

首先我将数据库只保留一个用户信息,目的是为了方便演示SQL注入问题:
5

第一步,在Mapper接口中定义方法login,返回登录成功的用户对象。

public UserInfo login(@Param("username") String username, @Param(("password")) String password);

第二步,在xml文件中编写SQL语句,我们需要演示SQL注入,所以我们使用${}来构造sql语句。

    <select id="login" resultType="com.example.demo.model.UserInfo">
        select * from userinfo where username='${
   username}' and password='${
   password}';
    </select>

第三步,编写测试类,我们在这个测试类中,传入有注入问题的SQL语句' or 1='1,使得不需要密码就能拿到相关的用户信息。

    @Test
    void login() {
   
        String username = "admin";
        String password = "' or 1='1";

        UserInfo userInfo = userMapper.login(username, password);
        System.out.println(userInfo);
    }

单元测试运行结果:
我们在不知道用户密码的情况下,登录成功,并拿到了用户的信息。
6
最终执行的一段sql语句为:

select * from userinfo where username='admin' and password='' or 1='1';

相当于它在原来条件判断的语句下,后面有加上一个或的逻辑,并且或后面的表达式为true,这样就使得原来的SQL语句中的条件判断部分一定为真,所以就在密码不知道的情况下拿到了用户的基本信息。

所以我们能不使用#{}就不使用${},因为存在SQL注入问题,如果必须使用${}则需要验证一下传递的参数是否合法,比如上面定义排序的sql,传递的参数只能是desc或者是asc,如果不是就不能执行这条SQL,防止SQL注入的发生。

1.3like查询

在Mybatis中使用like查询比较特殊,因为直接使用#{}会报错,而使用${},由于输入的字符串情况很多,无法做到枚举,验证比较困难,无法避免SQL注入问题。

首先,我们来演示使用#{}进行like查询,步骤我就不详细写了,就是查询的步骤。

第一步,声明方法。

public List<UserInfo> getListByName(@Param("username") String username);

第二步,xml写sql。

    <select id="getListByName" resultType="com.example.demo.model.UserInfo">
        select * from userinfo where username like '%#{
   username}%'
    </select>

第三步,单元测试。

    @Test
    void getListByName() {
   
        String username = "a";
        List<UserInfo> list = userMapper.getListByName(username);
        for (UserInfo userInfo : list) {
   
            System.out.println(userInfo)
最低0.47元/天 解锁文章
未见花闻
关注
  • 23
    点赞
  • 42
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 11
    评论
专栏目录
一个系列搞定MyBatisMybatis查询
Viper的程序员修炼手册
10-21 3572
MyBatis操作 经过了 MyBatis 基本增删改查的学习,而在实际的项目中,我们往往会接触到多的操作,什么是多呢, 在实际生活中,每个实体之间往往是存在关系的,而我们的项目却是要依赖数据库将这些实体之间的关系串联起来,从而实现我们的业务,所以这部分,我们着重讲解如何使用 MyBatis 框架处理多张数据之间的联系,帮助我们更加理解数据库的映射关系 (一) 间关系 A:一对多 用户和订单/理财产品 一个用户可以买好几个批次的理财产品 部门和员工 一个部门可以有很多员工 B:多
mybatis级联查询list_MyBatis实践之动态SQL及关联查询
weixin_31943957的博客
01-27 499
序言MyBatis,大家都知道,半自动的ORM框架,原来叫ibatis,后来好像是10年apache软件基金组织把它托管给了goole code,就重新命名了MyBatis,功能相对以前更强大了。它相对全自动的持久层框架Hibernate,更加灵活,更轻量级,这点我还是深有体会的。MyBatis的一个强大特性之一就是动态SQL能力了,能省去我们很多串联判断拼接SQL的痛苦,根据项目而定,在一定的场...
关于mybatis查询构建通用的动态查询对象
weixin_59181205的博客
07-20 553
mybatis,多查询,通用
MyBatis查询数据库
c_study__c的博客
05-19 1400
Mybatis进行数据库操作(单元测试进行),${}和#{}事例对比,以及增删查改
MyBatis---多查询动态sql的详细介绍
m0_57248981的博客
07-25 1210
MyBatis---多查询动态sql的详细介绍!!!
MyBatis查询+动态sql
爱敲代码的三毛的博客
04-15 1918
动态SQLMyBatis强大特征之一,在JDBC拼接SQL时候的痛处,不能忘记必要的空格添加,最后一个列名的逗号也要注意,利用动态SQL就能完成不同场景的SQL拼接。在注册某些账号的填写信息的时候,有必填项和非必填项,如果非必填项和少多写个接口就好了,但如果非必填项非常多的话就不行了,这个时候就需要动态标签。在使用查询语句的时候,如果有多个条件就会用到逻辑运算,如果有些条件不满足就会出现and前面没有条件判,导致sql报错。是固定语法,里面的判断的字段要和接口中定义的名字对应。
Mybatis-多联查
qq_52998673的博客
12-02 4432
Mybatis-多联查
mybatis动态sqlmybatis动态sqlmybatis动态sql
04-28
mybatis动态sql MyBatis是一种开源的持久层框架,它为Java程序员提供了一种简化数据库访问的方式。其中,动态SQLMyBatis的一个重要特性,它允许用户根据不同的条件拼接SQL语句,从而实现更加灵活和可扩展的数据库...
java配合MyBatis 多条件查询动态SQL
06-16
MyBatis 多条件查询动态SQL 粉丝可见 ybb_ymm 已于 2023-02-02 11:09:17 修改 642 收藏 3 分类专栏: java 文章标签: mybatis sql mysql 编辑 版权 java 专栏收录该内容 104 篇文章2 订阅 背景 MyBatis是一...
MyBatis-Plus多联合查询并且分页(3联合)
08-24
MyBatis-Plus 多联合查询并且分页(3 联合) MyBatis-Plus 是一个基于 MyBatis 的增强型 ORM 框架,提供了很多实用的功能,例如多联合查询和分页等。下面我们将详细介绍如何使用 MyBatis-Plus 实现多联合...
mybatis动态sql.zip
04-28
mybatis动态sql动态sql解析引擎,类似mybatis动态sql的功能。 mybatis动态sql动态sql解析引擎,类似mybatis动态sql的功能。mybatis动态sql动态sql解析引擎,类似mybatis动态sql的功能。mybatis动态sql,...
结合mybatis-plus实现简单不需要写sql的多查询
08-25
通过这种方式,MyBatis-Plus 实现了不需要手写 SQL 的多查询,极大地简化了开发过程。不过,值得注意的是,虽然这种方式方便快捷,但在复杂查询场景下可能不如直接编写 SQL 那样灵活。因此,理解 SQL 语句和数据库...
MyBatis(多联合、动态SQL)
Wang_Yuxi_0127的博客
03-21 197
前言在开发过程中单查询不能满足项目需求分析功能,对于复杂业务来讲,关联的有几张,甚至几十张并且之间的关系相当复杂。为了能够实业复杂功能业务,就必须进行多查询,在mybatis中提供了多查询的结果时映射标签,可以实现之间的一对一、一对多、多对多关系映射在数据库中创建部门和员工放置在src下。
MyBatis 插入和查询动态名中的数据
ideal-lingyun
06-25 990
MyBatis 插入和查询动态名中的数据
mybatis 动态查询
u014716614的博客
10-11 1973
传入需要查询名称,字段,查询条件动态返回数据结果集。1.名称,字段,查询条件封装。2.Mapper接口定义。
12. Mybatis查询 & 动态 SQL
qq_58969626的博客
07-29 1156
Mybatis 的数据库字段和 Java对象不一致时如何处理,动态 SQL的使用,标签的使用。
08-Mybatis 动态sql查询
记录java学习日常~
06-16 2551
动态 SQLMyBatis 的强大特性之一。使用动态 SQL 并非一件易事,但借助可用于任何 SQL 映射语句中的强大的动态 SQL 语言,MyBatis 显著地提升了这一特性的易用性。MyBatis 动态 SQL 查询是一种可以根据不同的查询条件生成不同 SQL 语句的功能,方便实现灵活的查询操作。
运用Mybatis动态查询字段及
菜鸟天涯_的博客
04-10 3963
2.如果知道具体查询哪些,可以把这些对应的字段配置进一张和字段对应的中,通过查询取出对应的字段及注释,此处的字段注释可以自己写相对比较灵活。1.我们必须知道查询名,可以通过查询字段及注释,然后把名和字段传进mapper。
基于JSP的高校信息资源共享平台
最新发布
heye0910032的博客
07-22 697
高校信息资源共享平台的开发和实现,为高校信息资源的管理和共享提供了一个有效的解决方案。通过使用JSP技术和MySQL数据库,本系统实现了一个稳定、安全、易用的高校信息资源管理平台。虽然在开发过程中遇到了一些技术挑战,但通过不断学习和实践,最终完成了一个能够满足用户需求的系统。未来,我们将继续优化系统功能,提升用户体验,以期达到更高的应用价值和社会效益。高校信息资源共享平台的开发和实现,为高校信息资源的管理和共享提供了一个有效的解决方案。
MyBatis动态SQL与分页查询指南
这篇文档主要介绍了MyBatis框架的使用,特别是查询相关的功能,包括分页查询动态SQL语句的运用。MyBatis是一个优秀的持久层框架,它支持定制化SQL、存储过程以及高级映射,避免了几乎所有的JDBC代码和手动设置参数...
评论 11
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

未见花闻

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值