MBS4: Map接口传参、模糊查询以及#{}与${}的SQL注入问题

最新推荐文章于 2023-03-01 11:25:25 发布
最新推荐文章于 2023-03-01 11:25:25 发布
阅读量348 收藏
点赞数
分类专栏: MyBatis 文章标签: mybatis mysql java sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44700366/article/details/119860086
版权

4.1 Map接口

简介: 当我们在MyBatis中,使用对象进行传参时(例如MBS3中的User),如果实体类的属性十分庞大,而自己需要传递的参数只有几个,这时候使用对象传参是十分不换算的。例如,我们需要更改一个用户的姓名,但是User实体类中的属性有20几个,我们使用构造器时,是需要将20属性全部赋值的。因此,我们可以使用Map接口来节约资源,并简化操作。

数据库:

idnamegender
1张大姐2
2李大哥1
3王五婶2

4.2 代码实现

UserMapper接口:

package com.yun.dao;

import com.yun.pojo.User;

import java.util.List;
import java.util.Map;

public interface UserMapper {    
    //Map接口的使用
    List<User> getUserList2(Map<String,Object> map);		//可以指定String,Object,也可以不用
}

UserMapper.xml:

<?xml version="1.0" encoding="UTF-8" ?>
    <!DOCTYPE mapper
            PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN"
            "http://mybatis.org/dtd/mybatis-3-mapper.dtd">
    <mapper namespace="com.yun.dao.UserMapper" >

        <select id="getUserList2" parameterType="Map" resultType="com.yun.pojo.User">
            select * from user where id =#{userId}			<!--括号里的值,是键-->
        </select>
    </mapper>

测试Map使用接口:

package com.yun.dao;

import com.yun.pojo.User;
import com.yun.utils.MyBatisUtils;
import org.apache.ibatis.session.SqlSession;
import org.junit.Test;

import java.util.HashMap;
import java.util.List;
import java.util.Map;

public class UserMapperTest {
    @Test
    public void getUserList2Test(){
        SqlSession sqlSession = MyBatisUtils.getSqlSession();
        UserMapper mapper = sqlSession.getMapper(UserMapper.class);
        Map<String,Object> map = new HashMap();
        map.put("userId",2);

        List<User> users = mapper.getUserList2(map);
        for (User user : users) {
            System.out.println(user);
        }
        sqlSession.close();
    }
}

4.3 模糊查询的两种方式

4.3.1 java传递通配符

UserMapper接口:

package com.yun.dao;

import com.yun.pojo.User;

import java.util.List;
import java.util.Map;

public interface UserMapper {
    //模糊查询
    List<User> getUserLike(String values);
}

UserMapper.xml:

<?xml version="1.0" encoding="UTF-8" ?>
    <!DOCTYPE mapper
            PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN"
            "http://mybatis.org/dtd/mybatis-3-mapper.dtd">
    <mapper namespace="com.yun.dao.UserMapper" >
        <select id="getUserListLike" parameterType="String" resultType="com.yun.pojo.User">
            select * from user where name like #{values}
        </select>
    </mapper>

测试模糊接口:

package com.yun.dao;

import com.yun.pojo.User;
import com.yun.utils.MyBatisUtils;
import org.apache.ibatis.session.SqlSession;
import org.junit.Test;

import java.util.HashMap;
import java.util.List;
import java.util.Map;

public class UserMapperTest {
    @Test
    public void getUserListLikeTest(){
        SqlSession sqlSession = MyBatisUtils.getSqlSession();
        UserMapper mapper = sqlSession.getMapper(UserMapper.class);
        List<User> users = mapper.getUserListLike("%大%");

        for (User user : users) {
            System.out.println(user);
        }

        sqlSession.close();
    }
}

4.3.2 MyBatis通配符

UserMapper接口:

package com.yun.dao;

import com.yun.pojo.User;

import java.util.List;
import java.util.Map;

public interface UserMapper {
    //模糊查询
    List<User> getUserListLike(String values);
}

UserMapper.xml:

<?xml version="1.0" encoding="UTF-8" ?>
    <!DOCTYPE mapper
            PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN"
            "http://mybatis.org/dtd/mybatis-3-mapper.dtd">
    <mapper namespace="com.yun.dao.UserMapper" >
        <select id="getUserListLike" parameterType="String" resultType="com.yun.pojo.User">
            select * from user where name like concat('%',#{values},'%')
        </select>
    </mapper>

测试模糊接口:

package com.yun.dao;

import com.yun.pojo.User;
import com.yun.utils.MyBatisUtils;
import org.apache.ibatis.session.SqlSession;
import org.junit.Test;

import java.util.HashMap;
import java.util.List;
import java.util.Map;

public class UserMapperTest {
    @Test
    public void getUserListLikeTest(){
        SqlSession sqlSession = MyBatisUtils.getSqlSession();
        UserMapper mapper = sqlSession.getMapper(UserMapper.class);
        List<User> users = mapper.getUserListLike("大");

        for (User user : users) {
            System.out.println(user);
        }

        sqlSession.close();
    }
}

4.3 关于#{}与${}的SQL注入问题

4.3.1 简介:

#{}${} 是MyBatis提供的两种对参数取值的方式。二者都可取出参数但是,二者功能有所不同。

4.3.2 #{}原理

简介: #{} 并不只是简单地取参数值,而是会创建PreparedStatement对象,并通过预编译的方式,对SQL语句进行传值。

例子:

<select id="getUserListLike" parameterType="String" resultType="com.yun.pojo.User">
    select * from user where name like #{values}
</select>

等同于以下语句:

String sql = "select * from user where name like ?";
PreparedStatement pre = con.prepareStatement(sql);

pre.set(1,values);

提示: java的PreparedStatement对象,就是为了防止SQL注入而存在的,并且#{}传递的值永远都是字符串存在的,因此#{}根本不会存在SQL注入的问题。

4.3.3 ${}的使用

简介: ${} 传递的是未经修改的字符,并不会存在创建PreparedStatement对象,而是直接传值,所以会存在SQL注入问题。

使用: 当我们需要传递一些Mysql里的关键字时,我们则需要使用 ${}

<select id="getUserListLike" parameterType="String" resultType="com.yun.pojo.User">
    select * from user order by id ${values}
</select>

如果上述语句中,values的候选值为 ”DESC“,”ASC“ ,如果我们使用的是 #{} ,那么于MySql而言,则是以下语句:

select * from user order by id DESC					<!--#{}使用结果-->

select * from user order by id 'DESC'				<!--${}使用结果-->

提示: 显然, #{} 使用结果语句在MYSQL中,是 非法 的。

SQL注入解决方案: 有大佬给出了解决方案

云杉先生和他的鹿
关注
专栏目录
Mybatis中的Map的使用和模糊查询的需求实现及其防SQL注入优化
一键难忘的博客
03-26 581
Java 代码执行的时候,传递通配符%%在 sql 拼接中使用通配符!
MBS:最小屏障超像素分割
05-13
在本文中,我们将深入探讨MBS算法的原理、实现方式以及它在C++中的应用。 超像素分割是图像预处理的重要步骤,其目的是通过减少图像中的像素数量来降低计算复杂度,同时保持图像的主要特征。MBS算法的独特之处在于...
接口数据多条件搜索(模糊查询
精通前端技术,了解后端接口
03-01 818
可单条件搜索也可多条件搜索,当搜索一个条件时,在加一个条件是根据上一次搜索返回的数据进行查询。1.创建一个对象每点击搜索的时候清空对象,然后对象的名字需要和接口返回过来的参数一样。3.将对象与接口返回的数据进行筛选,有符合条件的就放到一个数组里。4.判断数组是否为空,为空的话就是没有符合条件的数据。2.循环对象进行排除,把空的或者空字符串都给排除掉。
map类型输入参数sql
gc1329689056的博客
12-10 1544
public List&lt;String&gt; getMenuGrant(String staffId ,String currentTime) { Map queryMap = new HashMap(); queryMap.put("staffId", staffId); queryMap.put("currentTime", currentTime); List&lt;...
使用PostMan工具进行接口测试时传递Map类型参数的方法
web13618542420的博客
04-11 3619
PostMan接口测试传递Map类型参数 Step 1: 设置Header Step 2: 设置参数体 以json格式写好数据 Step 3:Controller层方法体参数设置 测试结果:
使用Map接口传递多个参数
weixin_44789391的博客
02-19 904
分页参数传递 案例 Dao接口 List<User> getUserByLimit(Map<String, Integer> map); 映射文件 <select id="getUserByLimit" parameterType="map" resultMap="UserMap"> select * from mybatis.user limit #{startIndex} , #{pageSize} </select>
Evaluation of explicit MBS formalism: Modal matrix of Flexible Body $B_Flextrack is singular.
最新发布
05-01
The error message you provided suggests that the modal matrix of the flexible body, represented by the symbol $B_{Flextrack}$, is singular. This means that the matrix cannot be inverted, which can be ...
mbs-parser:一个 Scala 库,用于解析房利美生成的各种抵押贷款支持的安全问题文件
06-26
mbs解析器 一个 Scala 库,用于解析由房利美生成的各种抵押贷款支持的安全问题文件。 参与抵押贷款市场的美国政府资助企业在其网站上为外部研究人员提供数据。 该库旨在促进对这些数据文件的解析。 最终,我计划为 ...
mbs packages
02-25
它提供了任务调度、版本控制、构建日志记录以及与MBS集成的功能。Koji允许开发者追踪构建状态,管理源代码仓库,并处理构建失败等问题。 3. **MBS与Koji的结合**: 在MBS中,Koji作为后端服务,负责实际的软件构建...
域名查询接口(含模糊查询)完全开源源码
04-24
.net framework2.0以上,项目是vs2013开发 支持域名查询,.com .cn .com.cn .me .net .biz 含模糊查询,查3位数,4位数,5位数,为抢注提供便利 支持字母查询,数字查询,字母数字组合查询, 可自定义查询次数,次数越多,查询的机率越大 带进度条,查看查询进度
3.map传参
qq_43626215的博客
01-06 3489
map传参 Map传递参数,直接在SQL中取出key即可 1.在接口方法中,参数直接传递Map int addUser2(Map<String,Object> map); 2.编写SQL语句的时候,需要传递参数类型,参数类型为map <!--万能map--> <insert id="addUser2" parameterType="map"> INSERT into user (id, name, psw) VALUES (#{id},#{name},#{ps
传参模糊查询
weixin_30898109的博客
04-10 308
SQL模糊查询语句可能大多数是这样写: string sql = "select * from UserInfo where username like'%"+username +"%'"; 但这样直接在sql语句中拼接字符串似乎不太明智。很不安全。 还有一种写法: string sql = "select * from U...
【狂神MyBatis笔记】map作为参数传递类型进行增删改查&模糊查询
暮色年华的博客
04-22 730
接口中的参数传入map; 实现类的传入参数map的键的名称,这个键可以自定义名称; 例:根据ID获取用户 接口: //根据ID获取用户 User getUserById2(Map<String,Object>map); 接口实现类: <select id="getUserById2" parameterType="map" resultType="com.kuang.pojo.User">
JAVA框架——MyBatis总结(二)(草稿)参数传入问题,结果返回问题,实体之间的关系问题模糊查询,动态sql问题
Mr_GYF的博客
12-12 287
一、参数传入问题 1.一个简单参数 Dao 接口中方法的参数只有一个简单类型(java 基本类型和 String),占位符 #{ 任意字符 },和方法的参数名无关。 接口方法 Student selectById(Integer id); mapper 文件 <select id="selectById" resultType="com.aiit.domain.Student"> select * from student where id=#{id} </select> #{
mybatis中,使用map传递参数和进行模糊查询的方法
m0_64365419的博客
01-09 2073
在上篇文章中,我们是通过对象进行插入和修改的,每次进行操作时,都需要new一个实体类的对象,但是当实体类的属性或者字段中的参数过多时,这无疑大大增加了代码量。针对这种情况,我们可使用Map.
谁要是再敢用Map传参,我过去就是一JIO
热门推荐
CodeSheep
04-05 4万+
还记得上次我写过一篇关于实际项目代码分层和规划的文章《看完这篇,别人的开源项目结构应该能看懂了》, 在文尾处提到过一些注意事项,其中第一条就是: Contorller层参数传递建议不要使用HashMap,推荐使用数据模型定义 私信里竟然有很多小伙伴提问说,为什么不能这样做? 我心里暗自寻思:难道这么做的小伙伴都没有被同事捶吗?(滑稽) 得嘞,今天咱们就掰扯掰扯这件事,这是实际写代码时常忽略...
MBS系统:高精度室内定位技术详解
总结来说,MBS技术为解决室内及复杂地理环境下定位问题提供了创新解决方案,它的快速定位能力、独立性以及对垂直方向的高度关注,使其在物联网、无人驾驶、智能家居等领域具有广阔的应用前景。随着技术的不断发展和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值