Mybatis-plus在xml中传入自定义的SQL语句

最新推荐文章于 2024-03-12 13:22:57 发布
最新推荐文章于 2024-03-12 13:22:57 发布
阅读量2.1k 收藏
点赞数 3
文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41930336/article/details/125338784
版权

项目场景:

项目需求需要在一个框架上二开,原框架有权限校验会返回对应的权限sql语句。

例如在获取用户当前组织及下级组织后拼接生成的SQL:

AND (
    settlement_company_id IN ( 
        '06eb1b4ce4d24e368319188bb4fc6390', 
        '9ff034739e984f188612c671219ddfed', 
        'afe69288c0b84828bd2abcb1c5eec28a' 
    ) 
)

因为有使用到关联查询,无法直接使用QueryWrapper的apply来拼接语句,只能在xml中拼接。 

问题描述:

查询传入实体:

@Data
public class YygkBankAccountQueryForm {
        /**
         * 数据权限Sql
         */
        @ApiModelProperty(value = "数据权限Sql")
        private String extraSql;
}

Mapper类:

public interface YygkBankAccountMapper extends BaseMapper<YygkBankAccountEntity> {
    /**
     * 分页查询银行账户
     *
     * @param iPage                 分页数据
     * @param yygkBankInfoQueryForm 查询参数
     * @return IPage<YygkBankAccountEntity>
     */
    IPage<YygkBankAccountEntity> queryPage(IPage<YygkBankAccountEntity> iPage, @Param("query") YygkBankAccountQueryForm yygkBankInfoQueryForm);
}

XML的查询SQL语句:

<select id="queryPage" resultMap="BaseMap">
    SELECT
    <include refid="YygkBankAccountSql"/>
    FROM yygk_bank_account ba
    LEFT JOIN yygk_currency_info ci ON ba.currency_id = ci.id
    <where>
        ba.delete_mark != 1
        <if test="query.extraSql != null and query.extraSql != ''">
            AND #{query.extraSql}
        </if>
    </where>
    ORDER BY ba.sort DESC
</select>

query.extraSql为我需要拼接的SQL语句。

执行查询的打印日志:

2022-06-17 18:59:55.981 DEBUG 16768 --- [io-30601-exec-1] c.g.y.m.Y.queryPage_mpCount              : ==>  Preparing: SELECT COUNT(1) FROM yygk_bank_account ba WHERE ba.delete_mark != 1 AND ?
2022-06-17 18:59:56.088 DEBUG 16768 --- [io-30601-exec-1] c.g.y.m.Y.queryPage_mpCount              : ==> Parameters:  (settlement_company_id in( '06eb1b4ce4d24e368319188bb4fc6390','9ff034739e984f188612c671219ddfed','afe69288c0b84828bd2abcb1c5eec28a' ) )(String)
2022-06-17 18:59:56.174 DEBUG 16768 --- [io-30601-exec-1] c.g.y.m.Y.queryPage_mpCount              : <==      Total: 1

可以看到在执行了mybatis-plus的count查询后并没有再执行查询数据

原因分析:

怀疑是要用SQL注入才能拼接SQL语句

解决方案:

参考:MyBatis-Plus 使用 Wrapper 自定义SQL_火柴头9527的博客-CSDN博客_mybatis-plus wrapper自定义sql

xml的SQL语句改为使用SQL注入:

<select id="queryPage" resultMap="BaseMap">
    SELECT
    <include refid="YygkBankAccountSql"/>
    FROM yygk_bank_account ba
    LEFT JOIN yygk_currency_info ci ON ba.currency_id = ci.id
    <where>
        ba.delete_mark != 1
        <if test="query.extraSql != null and query.extraSql != ''">
            AND ${query.extraSql}
        </if>
    </where>
    ORDER BY ba.sort DESC
</select>

将#{}替换成${}

2022-06-17 19:21:05.437 DEBUG 9008 --- [io-30601-exec-2] c.g.y.m.Y.queryPage_mpCount              : ==>  Preparing: SELECT COUNT(1) FROM yygk_bank_account ba WHERE ba.delete_mark != 1 AND (settlement_company_id IN ('06eb1b4ce4d24e368319188bb4fc6390', '9ff034739e984f188612c671219ddfed', 'afe69288c0b84828bd2abcb1c5eec28a'))
2022-06-17 19:21:05.523 DEBUG 9008 --- [io-30601-exec-2] c.g.y.m.Y.queryPage_mpCount              : ==> Parameters: 
2022-06-17 19:21:05.598 DEBUG 9008 --- [io-30601-exec-2] c.g.y.m.Y.queryPage_mpCount              : <==      Total: 1
2022-06-17 19:21:05.630 DEBUG 9008 --- [io-30601-exec-2] c.g.y.m.YygkBankAccountMapper.queryPage  : ==>  Preparing: SELECT ci.currency_code as currency_code, ba.id, ba.bank_id, ba.bank_name, ba.bank_short_name, ba.bank_english_name, ba.swift_code, ba.account_name, ba.sort, ba.account_number, ba.receipts_payment_type, ba.internal_account, ba.settlement_type, ba.account_type, ba.deposit_type, ba.settlement_company_id, ba.settlement_company_name, ba.default_mark, ba.currency_id, ba.currency_code, ba.account_identification, ba.opening_bank_identification, ba.billing_account, ba.remark, ba.creator_time, ba.creator_user_id, ba.creator_user, ba.last_modify_time, ba.last_modify_user_id, ba.last_modify_user, ba.enable_mark, ba.delete_time, ba.delete_user_id, ba.delete_mark FROM yygk_bank_account ba LEFT JOIN yygk_currency_info ci ON ba.currency_id = ci.id WHERE ba.delete_mark != 1 AND (settlement_company_id in( '06eb1b4ce4d24e368319188bb4fc6390','9ff034739e984f188612c671219ddfed','afe69288c0b84828bd2abcb1c5eec28a' ) ) ORDER BY ba.sort DESC LIMIT ?
2022-06-17 19:21:05.635 DEBUG 9008 --- [io-30601-exec-2] c.g.y.m.YygkBankAccountMapper.queryPage  : ==> Parameters: 20(Long)
2022-06-17 19:21:05.651 DEBUG 9008 --- [io-30601-exec-2] c.g.y.m.YygkBankAccountMapper.queryPage  : <==      Total: 2

可以看到在执行了mybatis-plus的count查询后,继续执行了查询数据语句。

虽然问题解决,但我还是不理解为何将#{}换成${}就能成功,有知道的大佬麻烦评论区告知一下,感谢!

穹龙
关注
  • 3
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
mybatis-plus自动生成代码的自定义引擎文件
07-28
使用方式:https://blog.csdn.net/weixin_45941687/article/details/125971980 引用mybatis-plus,如果需要根据实体类生成自定义controller、service、mapper、entity文件,需要设置自定义引擎文件,有多种格式,上传的资源是vm资源
mybatis-plus配置控制台打印完整带参数SQL语句的实现
09-07
主要介绍了mybatis-plus配置控制台打印完整带参数SQL语句,文通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Mybatis 实体类类型参数传入sql语句
最新发布
Kaiser__的博客
03-12 417
Mybatis会根据#{}传入的数据,加工成getXxx()方法,通过反射在实体类对象调用这个方法,从而获取到对应的数据。填充到#{}解析后的问号占位符这个位置。因此,我们可以直接通过实体的属性名获取参数值。
MyBatis-Plus 分页查询以及自定义sql分页的实现
09-07
主要介绍了MyBatis-Plus 分页查询以及自定义sql分页的实现,文通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
MyBatis-Plus 的官方示例(mybatis-plus-samples-master.zip)
05-05
本工程为 MyBatis-Plus 的官方示例,项目结构如下: mybatis-plus-sample-quickstart: 快速开始示例 mybatis-plus-sample-quickstart-springmvc: 快速开始示例(Spring MVC版本) mybatis-plus-sample-reduce-springmvc: 简化掉默认mapper类示例(Spring MVC版本) mybatis-plus-sample-generator: 代码生成器示例 mybatis-plus-sample-crud: 完整 CRUD 示例 mybatis-plus-sample-wrapper: 条件构造器示例 mybatis-plus-sample-pagination: 分页功能示例 mybatis-plus-sample-active-record: ActiveRecord示例 mybatis-plus-sample-sequence: Sequence示例 mybatis-plus-sample-execution-analysis: Sql执行分析示例
MyBatis-Plus入门+MyBatis-Plus文档手册 文pdf高清版.rar
11-09
mybatis在持久层框架还是比较火的,一般项目都是基于ssm。虽然mybatis可以直接在xml通过SQL语句操作数据库,很是灵活。但正其操作都要通过SQL语句进行,就必须写大量的xml文件,很是麻烦。mybatis-plus就很好的解决了这个问题。 MyBatisPlus是一个Mybatis的增强工具,在 Mybatis 的基础上只做增强不做改变,为简化开发、提高效率而生。它主要通过启动时自动注入基本CURD,达到简化操作的目的。 关于mybatis-plus的更多介绍及特性,可以参考本文档,详细的介绍了从入门到提高的一个过程,感兴趣的可以下载了解。 MyBatis-Plus(简称 MP)是一个 MyBatis 的增强工具,在 MyBatis 的基础上只做增 强不做改变,为简化开发、提高效率而生。 特性:无侵入、损耗小、强大的CRUD操作,支持lambda 形势调用、支持多种数据库,支持主键自动生成、支持ActiveRecord模式,支持自定义全局通用操作、支持关键词自动转义,内置代码生成器、内置分页插件、内置性能分析插件,内置全局拦截插件、内置sql注入剥离器 《MyBatis-Plus入门文档》主要介绍了MyBatis-Plus入门使用,以及关于mybatis-plus的更多介绍及特性,感兴趣的可以下载学习一下
Mybatis-传入动态sql
wudonglianga的专栏
08-13 2861
1. mybatis 传入sql 语句执行 实现: package com.wudl.controller; import com.wudl.service.UserService; import org.springframework.beans.factory.annotation.Autowired; import org.springframework.web.bind.annotation.GetMapping; import org.springframework.web.bind.an
Mybatis-plus 分页 自定义count方法
鬼域X
08-23 2836
除非另外还指定了 TOP、OFFSET 或 FOR XML,否则,ORDER BY 子句在视图、内联函数、派生表、子查询和公用表表达式无效。查询条件QueryWrapper还有order by排序条件,则生成的select count(*) from(sql) 就会报错。那么count就会使用我们mapperselectAll_COUNT这个方法查询count。部分情况下,生成的count的sql会有问题,比如我的sql是有group by,这个时候可以自定义count方法解决,设置。
MyBatis-Plus 使用自定义sql语句时的五种参数传递方式
web18334137065的博客
04-21 1042
Mybatis(四)SQL语句参数传递的五种方法
Mybatis xml的动态sql
王林的博客
06-28 4472
动态 SQL 是 MyBatis 的强大特性之一。$ {}通过${}可以将parameterType传入的内容拼接在sql,不能防止sql注入,但是有时方便 例: 再比如order by排序,如果将列名通过参数传入sql,根据传的列名进行排序,应该写为: 如果使用#{}将无法实现此功能。Javaxml文件 三、动态sql—类型 总体说来mybatis 动态SQL 语句主要有以下几类:if 语句 (简单的条件判断)choose (when,otherwize) ,相当于java 语言的 switc
MybatisPlus 分页插件,使用xml文件自定义复杂语句时,列表countsql 与实际语句不一致
重露成涓滴
12-13 1417
mybatisPlus
Mybatis执行前端作为入参传过来的SQL语句(动态sql)
达内---刘天孝作品
04-28 1001
mybatis执行前端传入动态sql
mybatis-plus分页插件之count优化
zhangzhiping35的专栏
07-26 2687
分页插件配置 package com.example.demo.conf; import com.baomidou.mybatisplus.extension.plugins.MybatisPlusInterceptor; import com.baomidou.mybatisplus.extension.plugins.inner.PaginationInnerInterceptor; i...
mybatis plus 查询数量_Mybatis 增强工具包 Mybatis-Plus
weixin_42320493的博客
01-03 217
MyBatis 增强工具包,简化 CRUD 操作。启动加载 XML 配置时注入单表 SQL 操作 ,为简化开发工作、提高生产率而生。Maven 坐标http://search.maven.org/#search%7Cga%7C1%7Cmybatis-plus com.baomidou mybatis-plus maven 官方最新版本号为准一、与其他 Mybatis 工具包区别1、优势一、 Myb...
mybatis-plus分页查询出现count()问题详细解决过程
cxSmiles的博客
08-29 8678
mybatis-plus分页查询出现count()问题详细解决过程
MybatisPlus调用count函数
qq_43072106的博客
12-22 2万+
mybatisPlus如何调用count函数
mybatis-plus使用xml自定义sql语句
weixin_51751186的博客
03-08 9833
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录学习准备前言一 在Mapper层自定义方法二、创建mapper.xml文件三、配置YAML总结 学习准备 使用mybaits-plus配置项目好基本的三个层次 dao service controller 可以参考我的这篇文章 如何快速使用 Mybatis-plus. 前言 mybatis-plus的使用确实很方便,但我们在日常的使用难免遇到复杂的查询 这时候应该使用xml自定义sql 提示:以下是本篇文章正文内容,下面案例.
springboot集成MyBatisPlus、自定义xml、打印SQL、分页多条件查询、条件构造器Wrapper、@EnumValue、乐观锁、@KeySequence
Meta39的博客
10-22 4075
springboot集成MyBatisPlus、自定义xml、打印SQL、分页多条件查询、条件构造器Wrapper、@EnumValue、乐观锁、@KeySequence
mybatis直接执行传入sql语句
热门推荐
星期八的博客
07-12 2万+
(一)通过配置文件的方式实现 1、dao.java public List<Map<String, Object>> selectPublicItemList(@Param(value="sqlStr") String sqlStr); 2、mapper.xml <select id="selectPublicItemList" parameterTyp...
mybatis-plus实现自定义复杂sql查询
06-28
### 回答1: Mybatis-PlusMybatis的一个增强工具,它可以优化我们的开发效率。在实际的项目开发,我们通常需要编写复杂的SQL查询语句来满足业务需求。下面我将介绍如何在自定义的Mapper类实现复杂的SQL查询操作。 Mybatis-Plus提供了很多基础的查询方法,比如新增、修改、删除、查询全部等,但是当我们遇到一些比较复杂的查询需求时,需要自己手动编写SQL语句。我们可以在自定义的Mapper接口定义SQL查询方法,然后在XML文件编写SQL语句,最后通过Mybatis-Plus的注解进行映射。 首先,在自定义的Mapper接口定义一个查询方法,比如:selectUserList。在这个方法上使用注解@Select,用于映射XML文件SQL语句。在这个方法的参数,我们可以传入一些查询条件用于过滤查询结果,比如用户姓名、年龄等信息。如果需要分页查询,我们可以传入Page对象,然后在XML文件使用<if>标签判断是否需要拼装分页的SQL语句。 然后,在XML文件编写SQL语句。针对不同的查询需求,我们可以使用各种关键字、函数、运算符等语法进行拼装。在使用变量的时候,需要使用#{XXX}形式的占位符来代替变量,同时也可以使用${XXX}形式的占位符来代替SQL关键字、表名等信息。 最后,在Mapper接口上使用@Mapper注解将这个接口进行映射,然后在Service层调用这个接口定义的查询方法即可。如果需要进行分页查询,我们需要手动创建一个Page对象,并设置分页信息,然后将这个对象传入到Mapper接口即可。 总之,对于比较复杂的SQL查询操作,我们可以通过自定义Mapper接口、XML文件以及Mybatis-Plus注解的方式来实现。这样可以大大提升我们的查询效率和开发效率,减少我们的工作量和出错的概率。 ### 回答2: MyBatis-Plus 是一个 Mybatis 的增强工具,在持久层操作方面做了很多增强和优化,其包括自定义复杂 SQL 查询。 实现自定义复杂 SQL 查询的步骤如下: 1. 在实体类添加查询参数的字段,如下: ``` public class User { private Integer id; private String name; private Integer age; private String phone; // getter and setter ... } ``` 2. 在 mapper.xml 编写自定义复杂 SQL 查询语句: ``` <select id="selectByCustomQuery" resultMap="BaseResultMap"> SELECT id,name,age,phone FROM user <where> <if test="name!=null"> and name like concat('%', #{name}, '%') </if> <if test="age!=null"> and age = #{age} </if> <if test="phone!=null"> and phone like concat('%', #{phone}, '%') </if> </where> </select> ``` 3. 在 mapper 接口添加自定义查询的方法: ``` public interface UserMapper extends BaseMapper<User> { List<User> selectByCustomQuery(@Param("name") String name, @Param("age") Integer age, @Param("phone") String phone); } ``` 4. 在 service 层调用自定义查询的方法: ``` @Service public class UserServiceImpl implements UserService { @Autowired private UserMapper userMapper; @Override public List<User> findByCustomQuery(String name, Integer age, String phone) { return userMapper.selectByCustomQuery(name, age, phone); } } ``` 最后,调用 findByCustomQuery 方法可以实现自定义复杂 SQL 查询。 以上是实现自定义复杂 SQL 查询的简单步骤,需要注意的是在 XML 编写 SQL 语句时,需要加入防 SQL 注入的措施。 ### 回答3: MyBatis-Plus是一款基于MyBatis的增强工具包,它封装了很多MyBatis的常用操作,例如:分页查询、自动逆向工程、注解CRUD、性能分析等,其自定义复杂SQL查询也得到了很好的支持。 MyBatis-Plus自定义复杂SQL语句的步骤如下: 1.定义Mapper接口 在Mapper接口定义自定义查询方法,例如: ```java @Select("SELECT * FROM user WHERE age > #{age}") List<User> selectByAge(Integer age); ``` 2.使用MyBatis-Plus提供的BaseMapper 在Mapper接口继承MyBatis-Plus提供的BaseMapper,并使用@Mapper注解标记接口。 ```java @Mapper public interface UserMapper extends BaseMapper<User> { @Select("SELECT * FROM user WHERE age > #{age}") List<User> selectByAge(Integer age); } ``` 3.使用XML方式实现自定义查询 如果自定义查询语句比较复杂,可以使用XML方式实现。在Mapper接口定义方法,例如: ```java List<UserVO> selectUserVO(); ``` 在resources/mapper/UserMapper.xml实现自定义sql语句,例如: ```xml <select id="selectUserVO" resultMap="userVOResultMap"> SELECT u.*, d.name AS deptName FROM user u LEFT JOIN department d ON u.dept_id = d.id </select> ``` 4.在Service层调用Mapper接口自定义方法 在Service层注入Mapper,并调用Mapper接口自定义方法,例如: ```java @Service public class UserServiceImpl implements UserService { @Autowired private UserMapper userMapper; @Override public List<UserVO> selectUserVO() { return userMapper.selectUserVO(); } } ``` 以上就是使用MyBatis-Plus实现自定义复杂SQL查询的步骤,它可以很好地帮助我们提高数据查询的效率和灵活性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值