spring nvc 研究所(后端)第三周学习心得
实验十一 实现使用拦截器验证用户是否登录
-
理解
Spring MVC的拦截器类似于Servlet开发中的过滤器Filter,用于对处理器进行预处理和后处理。第一个用户输入用户名和密码进行登录后,下一次需要口令,拦截器会对口令进行验证,只有验证通过的用户才能继续访问
2.拦截器场景
拦截器的主要应用场景包括:登录验证(判断用户是否登录)、权限验证(判断用户是否有权限访问资源,如校验token)、日志记录(记录请求操作日志,如用户ip、访问时间等)、处理cookie、本地化、国际化、主题等、性能监控(监控请求处理时长等)。
3.拦截器和过滤器的区别
| 名称 | 过滤器 | 拦截器 |
|---|---|---|
| 应用场景 | 1.过滤敏感 词汇(防止sql注入) 2.设置字符编码 3.URL级别的权限访问控制 4.压缩响应信息 | 1.登录验证,判断用户是否登录。 2.权限验证,判断用户是否有权限访问资源,如校验token 3.日志记录,记录请求操作日志(用户ip,访问时间等),以便统计请求访问量。 4.处理cookie、本地化、国际化、主题等。 5.性能监控,监控请求处理时长等。 6.通用行为:读取cookie得到用户信息并将用户对象放入请求,从而方便后续流程使用,还有如提取Locale、Theme信息等,只要是多个处理器都需要的即可使用拦截器实现) |
| 实现方式 | Filter是被server调用 | Interceptor是被spring调用 |
3.总结
- 在spring架构中优先使用拦截器,几乎所有过滤器能做的事拦截器都能做,而且可以在请求前、请求后执行,比较灵活。
实验十二 基于Mybatis实现数据增删改查
简单理解:Mybatis 是一个支持定制化 SQL、存储过程以及高级映射的持久层框架。它通过简单的 XML 或注解用于配置和原始映射,将接口和 Java 的 POJOs(Plain Old Java Objects,普通的 Java对象)映射成数据库中的记录
- 步骤:
- 配置,加依赖
- 创建实体类:为数据库中的表创建JavaBean样式的实体类。
- 创建映射文件:写sql以及如何从数据库表中取得
- 编写核心配置文件SqlMapConfig.xml
- 创建接口:用注解或XML文件描述SQL语句,并封装这些SQL语句。
- 调用接口:通过调用接口中的方法实现对数据库的增删改查操作
2.问题:
- mybatis中的#{}和¥{}有什么区别
#{}是预处理的形式,即参数化查询。它在执行SQL语句前,会先将参数值进行预处理,然后传入SQL语句中,可以防止SQL注入,提高了安全性
${}则是直接的字符串替换。它没有预处理,所以如果传入的参数值包含了SQL语句的特殊字符在SQL语句执行前,MyBatis会直接使用参数值替换${}。这种方式的处理比较直接
-
mybatis中的mapper xml文件有什么作用 怎么编写
MyBatis中的Mapper XML文件是映射文件,是数据库和Java对象的映射,我们就可以直接使用Java对象来表示数据库中的数据,而不需要每次都手动转换进行sql增删改查
创建XML文件定义命名空间编写SQL查询参数映射定义动态SQL
ResultMap来映射查询结果。处理数据库查询结果与 Java 对象之间的映射关系,可以将复杂查询简单化,可以这样,当执行查询时,MyBatis 将自动根据resultMap的定义将查询结果映射到 对象中 可以进行关联关系
3.步骤
-
导依赖
<dependencies> <dependency> <groupId>mysql</groupId> <artifactId>mysql-connector-java</artifactId> <version>8.0.33</version> </dependency> <dependency> <groupId>org.mybatis</groupId> <artifactId>mybatis</artifactId> <version>3.4.6</version> </dependency> <dependency> <groupId>junit</groupId> <artifactId>junit</artifactId> <version>4.12</version> <scope>test</scope> </dependency> <dependency> <groupId>org.projectlombok</groupId> <artifactId>lombok</artifactId> <version>1.18.20</version> </dependency> </dependencies> -
创建一个Mapper接口,定义SQL操作
public interface UserMapper {
@Select("SELECT * FROM user WHERE id = #{id}")
User getUserById(int id);
@Insert("INSERT INTO user(name, age) VALUES(#{name}, #{age})")
void insertUser(User user);
@Update("UPDATE user SET name=#{name}, age=#{age} WHERE id=#{id}")
void updateUser(User user);
@Delete("DELETE FROM user WHERE id=#{id}")
void deleteUser(int id);
}
- 创建SqlSessionFactory,SqlSession是执行SQL语句的主要接口
- mybatis-config.xml中配置mapper和数据源
实验十三 基于Mybatis实现多条件查询
1.常用的动态SQL元素
动态SQL之<if>
我们根据实体类的不同取值,使用不同的SQL语句来进行查询。
动态SQL之<foreach>
循环执行sql的拼接操作,例: SELECT * FROM phone WHERE capacity IN (128,512)
动态SQL之<where> : where条件
动态SQL之<sql>:sql片段抽取
动态SQL之:这三个元素一起工作,类似于Java的switch语句
动态SQL之:`元素可以用来定制SQL语句的拼接,可以去除多余的AND或OR。
动态SQL之:主要用于更新操作,可以动态地前置SET关键字,并剔除末尾多余的逗号。
动态SQL之使用外部参数MyBatis不仅支持使用内部参数进行动态SQL的生成,也可以:外部参数,通过
#{paramName}的形式引用外部参数。元素
2.mybatis中的模糊查询
-
方式一 在测试中手动添加%通配符
<!--模糊查询--> <select id="fuzzyQuery" resultType="com.bin.pojo.Book"> select * from mybatis.book where bookName like #{info}; </select> //测试 @Test public void Query(){ SqlSession sqlSession = MybatisUtils.getSqlSession(); BookMapper mapper = sqlSession.getMapper(BookMapper.class); List<Book> books = mapper.fuzzyQuery("%晨"); for (Book book : books) { System.out.println(book); } sqlSession.close(); } -
在xml配置文件中添加"%"通配符,拼接字符串形式
-
缺点:用单引号后#{}无法被识别,要改成${}这种拼接字符串的形式,容易出现sql语句的注入
<select id="Query" resultType="com.bin.pojo.Book">
select * from mybatis.book where bookName like '%${name}%';
</select>
-
使用bind模糊查询(可以防止sql语句的注入)
bind(参数一,参数二):用于模糊查询
- 参数一: name:自定义名称,变量名,用于赋予like后面的名称
- 参数二: value: 传入的参数
‘%${name}%’;
- 使用bind模糊查询(可以防止sql语句的注入)
> bind(参数一,参数二):用于模糊查询
>
> 1. 参数一: name:自定义名称,变量名,用于赋予like后面的名称
> 2. 参数二: value: 传入的参数
#####
1264
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
