Mybatis动态代理—模糊查询2种方式的区别

最新推荐文章于 2022-12-19 08:55:05 发布
最新推荐文章于 2022-12-19 08:55:05 发布
阅读量272 收藏
点赞数
分类专栏: Java进阶历程 Mybatis笔记 文章标签: mybatis mapper代理 mybatis代理 模糊查询 sql注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_19314763/article/details/113340987
版权

文章目录


数据库user表的数据如下:
在这里插入图片描述

查询方式一(推荐):

#{ }引用参数

	<!-- 模糊查询 方式一:#{}-->
    <select id="findByUserName" resultMap="userResultMap" parameterType="string">
        <!--#{}:表示占位符,引用参数时会自动填充单引号
        #{}中的值,必须与User对象的属性名一致,准确说,是与各个属性的get方法后面的名称首字母小写一致
        #{}中的值,如果是基本数据类型,或String,且只有一个占位符时,可以随便写-->
        select * from user where username like #{username}
    </select>

方式一测试代码:

/**
     * 模糊查询测试:方式一
     */
    @Test
    public void test4() throws IOException {
        InputStream resourceAsStream = Resources.getResourceAsStream("sqlMapConfig.xml");
        SqlSessionFactory sqlSessionFactory = new SqlSessionFactoryBuilder().build(resourceAsStream);
        SqlSession sqlSession = sqlSessionFactory.openSession();

        //返回的是UserMapper所产生的代理对象,  底层:JDK动态代理   实际类型:proxy
        UserMapper mapper = sqlSession.getMapper(UserMapper.class);

        List<User> users = mapper.findByUserName("%子%");
        for (User u:users){
            System.out.println(u);
        }
        sqlSession.close();
    }

方式一查询结果:
在这里插入图片描述

查询方式二(不推荐,存在sql注入问题):

<!-- 模糊查询 方式二(不推荐,会导致sql注入问题):-->
    <select id="findByUserName2" resultMap="userResultMap" parameterType="string">        
        <!--${}:sql原样拼接-->
        select * from user where username like '${xxx}'
    </select>

方式二测试代码

/**
     * 模糊查询测试:方式二
     */
    @Test
    public void test5() throws IOException {
        InputStream resourceAsStream = Resources.getResourceAsStream("sqlMapConfig.xml");
        SqlSessionFactory sqlSessionFactory = new SqlSessionFactoryBuilder().build(resourceAsStream);
        SqlSession sqlSession = sqlSessionFactory.openSession();

        //返回的是UserMapper所产生的代理对象,  底层:JDK动态代理   实际类型:proxy
        UserMapper mapper = sqlSession.getMapper(UserMapper.class);

        List<User> users = mapper.findByUserName2("%子%");
        for (User u:users){
            System.out.println(u);
        }
        sqlSession.close();
    }

方式二查询结果
在这里插入图片描述
方式二测试SQL注入的代码

public void test5() throws IOException {
        InputStream resourceAsStream = Resources.getResourceAsStream("sqlMapConfig.xml");
        SqlSessionFactory sqlSessionFactory = new SqlSessionFactoryBuilder().build(resourceAsStream);
        SqlSession sqlSession = sqlSessionFactory.openSession();
        UserMapper mapper = sqlSession.getMapper(UserMapper.class);
        List<User> users = mapper.findByUserName2("%子% 'or '1=1");   //测试SQL注入问题
        for (User u:users){
            System.out.println(u);
        }
        sqlSession.close();
    }

方式二测试SQL注入查询结果
在这里插入图片描述

总结

#{ }方式、${ } 方式引用参数的区别:

相同点:

  • 俩种方式都可以接收简单类型参数值 或者 pojo属性值

不同点:

  • #{ }可以防止SQL注入 ,是推荐使用的方式
    表示占位符号,可以实现将prepareStatement向占位符中设置值,自动进行java类型和jdbc类型转换,parameterType为什么类型, 传入的参数就会被识别为指定类型,不会存在sql注入(像%子% 'or ‘1=1这样的参数,会被识别为:username LIKE "’%子% 'or ‘1=1’",而不是username LIKE '%子% 'OR ‘1=1’
  • ${ }存在SQL注入问题,不推荐使用
    将parameterType传入的内容拼接在sql中,不会进行jdbc类型转换,因此会出现sql注入问题
迟到_啦
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
mybatis动态代理与传统的dao访问数据库对比,来理解mybatis动态代理的原理。(部分注释内容属于个人理解内容)
Self_discipline8的博客
04-17 293
mybatis动态代理与传统的dao访问数据库对比,来理解mybatis动态代理的原理。(部分注释内容属于个人理解内容) 一、使用传统的dao方式来访问数据库的步骤如下。 第一,创建student类 public class Student{ private Integer id; private String name; private Integer age; private Integer grade; } 第二,创建StudentDao接口 //操作student表
MyBatis拦截器分页与动态修改SQL及其参数值
10-09
1. **MyBatis拦截器**:MyBatis提供了一插件机制,即拦截器(Interceptor),它基于Java的动态代理,可以在SQL执行前或执行后进行干预。例如,我们可以创建一个自定义的拦截器,来实现特定的功能,如日志记录、...
MyBatis模糊查询方式对比。
lyfGeek的博客
03-11 318
MyBatis模糊查询方式对比。
MyBatis模糊查询 -- #{} & ${}之间的区别
weixin_43708793的博客
04-02 581
1、MyBatis模糊查询实现: 1.1、#{} 方式模糊查询持久层: <select id="queryUserInfoByUserName" parameterType="String" resultType="Model.UserCRUDModel"> <!-- 使用#{} 模糊查询 --> select * from user wh...
Mybatis4之传统DAO和动态代理
simon_xie的博客
10-12 249
传统Dao 1:传统DAO需要接口,需要实现类 SqlSession sqlSession = SqlSessionFactoryUtils.getSqlSessionFactory().openSession(); User user =sqlSession.selectOne("getUserById",id); sqlSession.close(); 实现类需要sqlSession...
MyBatisMyBatis动态代理
Super_Powerbank的博客
02-08 632
文章目录MyBatis动态代理1、代理模式(1)JDK自带的动态代理(2)CGLib动态代理2、MyBatis动态代理 MyBatis动态代理MyBatis的使用过程中,我们经常使用的是通过getMapper方法获取代理对象,形如:StudentMapper mapper = sqlSession.getMapper(StudentMapper.class);方式,从而进行对接口的动态代理。 1、代理模式 动态代理其实是代理模式的一,而代理模式其实是Java当中的一设计模式。其结构如图所示:
MyBatis项目:ALL
09-16
maven02:获取参数值两方式、查询结果单个或多条接收、模糊查询等特殊功能 maven03:两表多对一/一对多ResultMap解决字段与属性映射、动态SQL标签、缓存 MyBatis_MBG:逆向工程(奢华尊享版)(由数据库逆向自动...
总结一天学会MyBatis框架所有知识.docx
09-02
MyBatis通过动态代理机制将SQL语句与Java方法关联,实现了SQL的动态执行。 在MyBatis中,单表的增删改查操作可以通过SqlSession接口提供的API实现: - `insert`方法:插入数据。 - `delete`方法:删除数据。 - `...
4.2mybatis入门教程(一)
09-03
2. **Mapper 接口开发**:使用 Mapper 接口,MyBatis 通过动态代理生成实现类,简化开发。 ### 5. 高级知识 - **高级结果集映射**:一对一、一对多、多对多关系的映射。 - **延迟加载**:只在需要时加载关联数据,...
springMC+mybatis框架
02-08
2. **动态 SQL**:MyBatis 支持动态 SQL,可以在映射文件中使用 if、choose、when、otherwise 等标签编写条件语句,灵活处理复杂查询需求。 3. **接口代理**:MyBatis 通过 SqlSession 和 Mapper 接口,实现了 DAO ...
Mybatis第二谈,深入学习MybatisMybatis动态代理、深入理解Mybatis的参数、多个参数传值)
小游子YKY的博客
06-03 4132
文章预览:1、mybatis动态代理2、深入理解参数1. parameterType:2. 一个简单类型的参数:3. mybatis 封装 jdbc4.多个参数传值1、命名参数(推荐)2、对象传参3、按位置传参4、Map传参5.占位符比较:#和$3、具体代码实现: 1、mybatis动态代理 原理: mybatis根据dao方法的调用,获取执行sql语句的信息。 mybatis根据你的dao接口,创建出一个dao接口的实现类,并创建这个类的对象 完成SqlSession调用调用方法,访问数据库 Lis
浅谈MyBatis模糊查询LIKE的几方式
qq_43038960的博客
12-19 1479
在操作数据库时,查询是最常用的语句,模糊查询也是数据库SQL中使用频率很高的SQL语句,利用MyBatis框架来进行更加灵活的模糊查询,介绍以下两常用的方式
mybatis模糊查询方法
热门推荐
爱丫爱的博客
12-21 1万+
mysql 模糊查询方法之concat和bind的区别
mysql mapper配置模糊查询_mybatis模糊查询、分页和别名配置的方法
weixin_39799565的博客
02-01 944
mybatis模糊查询(3)第一select * from user where username like "%" #{name} "%"第二select * from user where username like "%${value}%"第三select * from user where username like concat("%",#{username},"%")全网都这样...
java file模糊匹配某文件夹下的文件并删除
Beluga_白鲸
01-14 3419
package com.wyebd.gis; import java.io.File; /** * @Title: DelFiles.java * @Package com.wyebd.gis * @Description: * @author lisr * @date Mar 7, 2012 5:36:03 PM * @version V1.0 */ pu
程序笔记:MyBatis 动态SQL和模糊查询
maple的博客
07-30 2742
之前用mybatis在xml中写sql语句用到过&amp;lt;if&amp;gt;标签,但是不知道这是动态SQL(尴尬),最近空闲整理一下常用的动态SQL。好记性不如烂笔头 以图 t_user 表为例: 1. if 语句 根据 userNo 和 name 来查询数据。如果userNo为空,那么将只根据name来查询;反之只根据userNo来查询. &amp;lt;select id=&quot;getUserBy...
动态代理的三书写方法
weixin_38520617的博客
12-03 800
1.blind方法即给被代理类对象实例话,又返回代理类对象 /** * 代理类 */ class MyInvocationHandler implements InvocationHandler{ Object object;//实现了接口的被代理类对象的声明(RealSubject) // 1.给被代理类的对象实例话 //2.返回一个代理类的对象 pu...
第二章mapper接口 和模糊查询
NYLX9527的博客
06-02 1001
mybatis进行CURD 方式一:基于映射文件+SqlSession 特点:依赖SqlSession对象方法,实现CURD.比如selectList(),selectOne(),insert()… 方式2: 基于映射文件+Mapper接口 特点: 在Mapper接口中定义关于CURD操作的接口方法,然后由MyBatis通过JDK动态代理生成接口的实现类. 因此,在使用时,直接通过Mapper接口对象,调用相关方法即可实现CURD. 备注: Mapper接口方式底层依然是基于SqlSession. 项
java中getResourceAsStream的问题 - 缓存
diaokai2608的博客
12-22 211
运行状态下property文件已经被改动了,但是使用getResourceAsStream()方法读取的文件没发生变化,还是和最初启动服务器时的一致。在网上查了一下,有人说是getResourceAsStream()方法读取新文件后会被java虚拟机缓存,而再次调用getResourceAsStream()方法时会先查找java虚拟机中是否有此文件,如果有则直接返回,如果没有才会去根据传...
mybatis动态sql模糊查询
最新发布
05-09
MyBatis提供了动态SQL的功能,可以根据不同的条件组装不同的SQL语句,实现灵活的查询操作。下面是一个使用动态SQL实现模糊查询的示例: ``` SELECT * FROM user != null and name != ''"> AND name like ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

迟到_啦

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值