MyBatis解决动态传入表名和字段名参数的问题

最新推荐文章于 2024-05-10 14:07:14 发布
最新推荐文章于 2024-05-10 14:07:14 发布
阅读量1.9k 收藏 4
点赞数 2
分类专栏: SSM
原文链接:https://blog.csdn.net/lsm135/article/details/77605967
版权

动态SQL是mybatis的强大特性之一,mybatis在对sql语句进行预编译之前,会对sql进行动态解析,解析为一个BoundSql对象,也是在此处对动态sql进行处理。下面让我们先来熟悉下mybatis里#{}与${}的用法:

  在动态sql解析过程,#{}与${}的效果是不一样的:

 

#{ } 解析为一个 JDBC 预编译语句(prepared statement)的参数标记符。

  如以下sql语句

select * from user where name = #{name};

  会被解析为:

select * from user where name = ?;

  可以看到#{}被解析为一个参数占位符?。

 

${ } 仅仅为一个纯碎的 string 替换,在动态 SQL 解析阶段将会进行变量替换

  如以下sql语句:

select * from user where name = ${name};

  当我们传递参数“sprite”时,sql会解析为:

select * from user where name = "sprite";

  可以看到预编译之前的sql语句已经不包含变量name了。

综上所得, ${ } 的变量的替换阶段是在动态 SQL 解析阶段,而 #{ }的变量的替换是在 DBMS 中。

 

#{}与${}的区别可以简单总结如下:

  • #{}将传入的参数当成一个字符串,会给传入的参数加一个双引号
  • ${}将传入的参数直接显示生成在sql中,不会添加引号
  • #{}能够很大程度上防止sql注入,${}无法防止sql注入

  ${}在预编译之前已经被变量替换了,这会存在sql注入的风险。如下sql

select * from ${tableName} where name = ${name}

  如果传入的参数tableName为user; delete user; --,那么sql动态解析之后,预编译之前的sql将变为:

select * from user; delete user; -- where name = ?;

  --之后的语句将作为注释不起作用,顿时我和我的小伙伴惊呆了!!!看到没,本来的查询语句,竟然偷偷的包含了一个删除表数据的sql,是删除,删除,删除!!!重要的事情说三遍,可想而知,这个风险是有多大。

  • ${}一般用于传输数据库的表名、字段名等
  • 能用#{}的地方尽量别用${}

  进入正题,通过上面的分析,相信大家可能已经对如何动态调用表名和字段名有些思路了。示例如下:

<select id="getUser" resultType="java.util.Map" parameterType="java.lang.String">
    select 
        ${columns}
    from ${tableName}
        where COMPANY_REMARK = ${company}
  </select>

 

zhifeng687
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
mybatis入门使用5:传入表名参数
一蓑烟雨
06-13 3971
在使用mybatis时有时使用表名参数: 1、动态传入表名参数, 在xml 中 入 statementType="STATEMENT",使用$ ${tableName}, 2、此时需要使用map或者对象才能传入参数,单个参数提示没有get/set statementType="STATEMENT"> select Count(1) from ${tableName}
mybatis动态调用表名字段名
weixin_34175509的博客
10-12 2523
     以后慢慢启用个人博客:http://www.yuanrengu.com/index.php/mybatis1021.html   一直在使用Mybatis这个ORM框架,都是使用mybatis里的一些常用功能。今天在项目开发中有个业务是需要限制各个用户对某些表里的字段查询以及某些字段是否显示,如某张表的某些字段不让用户查询到。这种情况下,就需要构建sql来动态传入表名字段名了。现在对解...
Mybatis之ResultMap
最新发布
好记性不如烂笔头
05-10 1026
select语句查询得到的结果集是一张二维表,水平方向上看是一个个字段,垂直方向上看是一条条记录。而Java是面向对象的程序设计语言,对象是根据类定义创建的,类之间的引用关系可以认为是嵌套的结构。在JDBC编程中,为了将结果集中的数据映射成对象,我们需要自己写代码从结果集中获取数据,然后封装成对应的对象并设置对象之间的关系,而这些都是大量的重复性代码。
备战秋招--mybatis
weixin_51930617的博客
09-28 2046
备战求罩之mybatis
Mybatis 将table表名作为参数传入
默默不代表沉默
03-10 7635
使用 $ 符 如在mapper.xml里面的使用: 在mapper层就把这个表名当做普通的参数传入即可: 同理,其实如果真的使用了$ ,在不考虑安全的范畴里面,也可以把一些手动拼接的sql语句作为参数传入。 ...
Mybatis如何拼接动态表名 以及#{}和${}的具体使用情况
热门推荐
小先生编程
05-28 1万+
mapper.java 文件 public Gpsinfo selectGpsByPlateNo(@Param(“tableName”)String tableName,@Param(“plateNo”)String plateNo); #{}与${}的区别可以简单总结如下: 1. #{}将传入参数当成一个字符串,传入参数一个双引号 2. KaTeX parse error: Ex...
MyBatis 动态传入表名字段名参数解决办法
lemonminer的博客
07-02 1586
表名作为参数进行的查询1.介绍mybatis中${}和#{}的用法差异2.实现分表查询,动态表名字段名查询 1.介绍mybatis中${}和#{}的用法差异 动态SQL是mybatis的强大特性之一,mybatis在对sql语句进行预编译之前,对sql进行动态解析,解析为一个BoundSql对象,也是在此处对动态sql进行处理。下面让我们先来熟悉下mybatis里#{}与${}的用法: 在动态sql解析过程,#{}与${}的效果是不一样的: #{ } 解析为一个 JDBC 预编译语句(prepared
Mybatis动态调用表名字段名解决方法
09-01
今天在项目开发中有个业务是需要限制各个用户对某些表里的字段查询以及某些字段是否显示,这种情况下,就需要构建sql来动态传入表名字段名了,下面给大家介绍mybatis动态调用表名字段名解决方法,一起看看吧
mybatis plus 的动态表名的配置详解
09-07
`getParamValue` 方法用于从元对象中获取 `关键字段名` 的值,这里替换为实际的字段名,然后将其添表名后面,形成动态表名。 例如,如果执行的 SQL 是针对 `table1`,并且传入的对象中有 `code` 字段,那么...
mybatis创建一个或多个新用户 insert 字段和表名不确定时动态问题
08-31
`parameterType`设置为`java.util.Map`,意味着传入参数是一个Map对象,其中包含`lineColumn`(字段名),`table`(表名)和`lineList`(用户数据)。 ```xml INSERT INTO ${table}(${lineColumn}) select result.*,...
浅谈Mybatis #和$区别以及原理
08-18
#号用于参数,$号用于表名字段名参数Mybatis将这些占位符处理成SQL语句,并交给PreparedStatement来执行。 源码分析 在源码中,我们可以看到,Mybatis的执行入口是DefaultSqlSession.selectOne()方法。我们...
MyBatis动态条件通用查询
05-13
MyBatis动态条件通用查询是数据库操作中常见的一种需求,它允许开发者在不编写大量重复SQL语句的情况下,根据传入参数灵活地执行查询。这个功能的核心在于利用MyBatis动态SQL特性,结合Map数据结构来构建可变的...
mybatis-plus技巧--动态表名-多语句-拼接sql--关于mybatis的mysql分页查询总数的优化思考
余的日常学习
11-03 3482
mybatis-plus技巧--动态表名-多语句-拼接sql--关于mybatis的mysql分页查询总数的优化思考
mybatis 动态更换表名,用以动态访问不同表的数据(#{} 、${})
qinyi8888的博客
02-18 2905
原文地址:https://blog.csdn.net/qq_25221835/article/details/86711987 贴个图片,方便查看重点: 或者: 看了上面,大家就应该要猜到我等下要说什么了,我再贴下我之前的问题代码: 错误代码一: 1.所有参数都用#{} 错误原因:错误的关键就在于#{table},其实本质还是#{}和${} 的区...
mybatis传入表名参数/拼接SQL
aiyayayyaya的博客
08-02 3513
Context 现在有8个表,都有相同的两列。 需求就是选择 表&id,修改对应行的列值 8个表诶,两个操作就要写16个sql,还要判断枚举值选择不同的Dao,返回不同的实体… 啊,真的是太麻烦了。。 show time~ select 查操作要简单很多,参数表名和id 我们可以用${}传入表名,statementType="STATEMENT"在预编译前把SQL拼接好 <s...
MybatisPlus的联表分页查询+动态拼接主子表条件
niewenxue的博客
02-21 7743
MybatisPlus动态联表分页查询
【SSM】MyBatis(七.使用小技巧)
北极星的博客
03-28 279
{} 底层使用PreparedStatement,先进行sql语句编译,然后给sql语句的问号传值,没有注入风险。${} 底层使用Statement,先进行sql语句拼接,然后sql语句编译,存在注入风险。优先使用 #{},但是如果需要sql语句的的关键字放到sql语句当中,只能使用${}如果class较多,可以使用这种package的方式,但前提条件和上一种方式一样。● package:将包内的映射器接口实现全部注册为映射器。● class:使用映射器接口实现类的完全限定类名。当我们使用 #{}时。
mybatis 动态传入表名表名作为参数示例
lakelise的专栏
07-10 5316
物理表名称 作为参数 传入 mybatis xml 文件,动态载sql
MyBatis——动态SQL,MyBatis实现多表查询
zzy7075的专栏
09-18 521
MyBatis——MyBatis实现多表查询
mybaits通用查询mapper,传入参数查询字段和表名,返回list<map>
05-28
例如,以下代码可以根据传入参数表名字段名动态生成 SQL 语句: ```xml SELECT ,"> ${column} FROM ${table} ``` 其中,`fields` 是一个 List<String> 类型的参数,包含要查询的字段名;`table` ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值