mybatis中`${}`使用【特殊SQL】

最新推荐文章于 2023-12-31 12:11:17 发布
最新推荐文章于 2023-12-31 12:11:17 发布
阅读量1.8k 收藏 4
点赞数
分类专栏: mybatis 文章标签: sql java xml
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_47267628/article/details/124572830
版权

特殊SQL的执行

1.模糊查询【重点】

由于模糊查询传入是一个字符串

模糊查询的三种方式
方式一:%${值}%

方式一:注意是一定不能使用#{}没有拼接字符串的作用,会直接当作为%#{值}%一个字符串,所以会报错

select * from t_user where username like '%${username}%';
方式二:concat('%',#{值},'%')

使用concat函数,来拼接字符串

 select * from t_user where username like concat('%',#{username},'%');
方式三:"%"#{值}"%"【推荐使用这种方式】
select * from t_user where username like "%"#{username}"%";

案例:

Mapper接口

// 模糊查询,由于模糊查询返回的值可能为多个所以用List接收
    List<User> getUserLike(@Param("username")String username);

Mapper.xml文件

<!--
    模糊查询的三种方式:getUserLike
    方式一:使用`'%${值}%'`的方式
    方式二:使用`conact('%',#{值},'%'`
    方式三:使用`"%"#{值}`【在开发中推荐使用】
-->
    <select id="getUserLike" resultType="User">
        select * from t_user where username like '%${username}%';
        select * from t_user where username like concat('%',#{username},'%');
        select * from t_user where username like "%"#{username}"%";
    </select>

test

// 模糊查询
    @Test
    public void testGetUserLike(){
        SqlSession sqlSession = SqlSessionUtils.getSqlSession();
        SQLMapper mapper = sqlSession.getMapper(SQLMapper.class);
        List<User> list = mapper.getUserLike("明");
        System.out.println(list);
    }

2.批量删除【使用${值}

注意是:如果在批量删除时,传入的参数是拼接的字符串,则只能使用${}方式,并且不要添加单引号

案例:

Mapper接口

// 批量删除
    int deleteMoreByID(@Param("ids") String ids);

Mapper.xml文件

<!--
        deleteMoreByID :
        批量删除:在由于传入的字符串,如果在使用`#{值}`时,会报错因为是自动添加`单引号`
        此时需要使用`${值}`
    -->
    <delete id="deleteMoreByID">
        delete from t_user where id in (${ids});
    </delete>

test

 // 批量删除
    @Test
    public void testDeleteMoreByID(){
        SqlSession sqlSession = SqlSessionUtils.getSqlSession();
        SQLMapper mapper = sqlSession.getMapper(SQLMapper.class);
        int result = mapper.deleteMoreByID("3,5,6");
        System.out.println(result);
    }

3.动态设置表名【必须使用${表名}

动态设置表名查询数据

Mapper接口

// 动态设置表名,由于查询所有用户信息List<User> getAllUserByTableName(@Param("tableName")String tableName);

Mapper.xml文件

<!--
    getAllUserByTableName(@Param("tableName")String tableName);
    动态设置表名查询所有用户信息
    注意是: 动态设置表只能使用`${表名}`
-->
    <select id="getAllUserByTableName" resultType="User">
        select * from ${tableName};
    </select>

test

 // 动态设置表名查询信息
    @Test
    public void testGetAllUserByTableName(){
        SqlSession sqlSession = SqlSessionUtils.getSqlSession();
        SQLMapper mapper = sqlSession.getMapper(SQLMapper.class);
        List<User> list = mapper.getAllUserByTableName("t_user");
        System.out.println(list);
    }

4.添加功能获取自增的主键【非常重要】

应用场景:

t_clazz(clazz_id,class_name):班级表

t_studen(student_id,student_name,clazz_id):学生表

例如:

  1. 在添加班级信息
  2. 获取新添加班级的id
  3. 为班级分配学生,即将某学生的班级id修改为新添加的班级的id

添加功能获取自增的主键需要在mapper.xml文件的insert标签中设置两个属性:

  • useGeneratedKeys:表示设置当前标签中的sql使用了自增的主键,设置值为true

  • keyProperty:表示将自增的主键的值赋值给传入到映射文件中的参数的某个属性这【意思就是将获取的主键值,为传入的某个属性赋值】【如下案例:】

    例如:获取到的主键值,为属性`id`赋值

	<insert id="insertUser" useGeneratedKeys="true" keyProperty="id">
        insert into t_user values(null,#{username},#{password},#{age},#{sex},#{email})
    </insert>

Mapper接口

// 添加功能获取自增的主键
    int insertUser(User user);

Mapper.xml文件

<!--
    insertUser(User user);
    添加功能获取自增的主键
    必须要设置两个参数:
    useGeneratedKeys:设置为true表示为主键自增
    keyProperty:表示获取的主键的值为id赋值
-->
    <insert id="insertUser" useGeneratedKeys="true" keyProperty="id">
        insert into t_user values (null,#{username},#{password},#{age},#{sex},#{email});
    </insert>

test

// 添加功能获取自增的主键
    @Test
    public void testInsertUser(){
        SqlSession sqlSession = SqlSessionUtils.getSqlSession();
        SQLMapper mapper = sqlSession.getMapper(SQLMapper.class);
        User user = new User(null,"西安","123",22,"男","123@qq.com");
        mapper.insertUser(user);
        System.out.println(user.getId());//可以看到传入的id为null,keyProperty赋值后,id就有值了
    }

综合

Mapper接口

/**
 * 演示特殊sql查询
 */
public interface SQLMapper {
    // 模糊查询,由于模糊查询返回的值可能为多个所以用List接收
    List<User> getUserLike(@Param("username")String username);


    // 批量删除
    int deleteMoreByID(@Param("ids") String ids);

    // 动态设置表名,由于查询所有用户信息
    List<User> getAllUserByTableName(@Param("tableName")String tableName);

    // 添加功能获取自增的主键
    int insertUser(User user);
}

Mapper.xml文件

<mapper namespace="com.haikang.mybatis.mapper.SQLMapper">
<!--
    模糊查询的三种方式:getUserLike
    方式一:使用`'%${值}%'`的方式
    方式二:使用`conact('%',#{值},'%'`
    方式三:使用`"%"#{值}`【在开发中推荐使用】
-->
    <select id="getUserLike" resultType="User">
        select * from t_user where username like '%${username}%';
        select * from t_user where username like concat('%',#{username},'%');
        select * from t_user where username like "%"#{username}"%";
    </select>

    <!--
        deleteMoreByID :
        批量删除:在由于传入的字符串,如果在使用`#{值}`时,会报错因为是自动添加`单引号`
        此时需要使用`${值}`
    -->
    <delete id="deleteMoreByID">
        delete from t_user where id in (${ids});
    </delete>
<!--
    getAllUserByTableName(@Param("tableName")String tableName);
    动态设置表名查询所有用户信息
    注意是: 动态设置表只能使用`${表名}`
-->
    <select id="getAllUserByTableName" resultType="User">
        select * from ${tableName};
    </select>

<!--
    insertUser(User user);
    添加功能获取自增的主键
    必须要设置两个参数:
    useGeneratedKeys:设置为true表示为主键自增
    keyProperty:表示获取的主键的值为id赋值
-->
    <insert id="insertUser" useGeneratedKeys="true" keyProperty="id">
        insert into t_user values (null,#{username},#{password},#{age},#{sex},#{email});
    </insert>
</mapper>

test

public class TestSQLMapper {
    // 添加功能获取自增的主键
    @Test
    public void testInsertUser(){
        SqlSession sqlSession = SqlSessionUtils.getSqlSession();
        SQLMapper mapper = sqlSession.getMapper(SQLMapper.class);
        User user = new User(null,"西安","123",22,"男","123@qq.com");
        mapper.insertUser(user);
        System.out.println(user.getId());//可以看到传入的id为null,keyProperty赋值后,id就有值了
    }

    // 动态设置表名查询信息
    @Test
    public void testGetAllUserByTableName(){
        SqlSession sqlSession = SqlSessionUtils.getSqlSession();
        SQLMapper mapper = sqlSession.getMapper(SQLMapper.class);
        List<User> list = mapper.getAllUserByTableName("t_user");
        System.out.println(list);
    }

    // 批量删除
    @Test
    public void testDeleteMoreByID(){
        SqlSession sqlSession = SqlSessionUtils.getSqlSession();
        SQLMapper mapper = sqlSession.getMapper(SQLMapper.class);
        int result = mapper.deleteMoreByID("3,5,6");
        System.out.println(result);
    }

    // 模糊查询
    @Test
    public void testGetUserLike(){
        SqlSession sqlSession = SqlSessionUtils.getSqlSession();
        SQLMapper mapper = sqlSession.getMapper(SQLMapper.class);
        List<User> list = mapper.getUserLike("明");
        System.out.println(list);
    }
}
昱晟168
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SQL 正则表达式及mybatis使用正则表达式
10-18
SQL,正则表达式有以下一些基本概念和特殊字符: 1. `.`:匹配任意单个字符,除了换行符。 2. `[...]`:字符类,匹配括号内任何字符。如`[abc]`匹配'a'、'b'或'c'。 3. `-`:在字符类表示范围,如`[a-z]`匹配...
浅谈mybatis的#和$的区别 以及防止sql注入的方法
09-01
MyBatis,`#`和`$`在动态SQL使用有着明显的区别,它们在处理传入数据的方式上有所不同,同时也与SQL注入的安全问题密切相关。了解这些区别对于编写安全且高效的MyBatis映射文件至关重要。 1. **# 的使用**...
区别:%{} 、 ${} 、 #
jim_007的博客
01-04 2167
struts2-------%{ } 、 %{#}、 #        #   通常强调从上下文取        例如:        #request.name等价于request.getAttribute("name")        #session.name等价于session.getAttribute("name") ---------------------
mysqlconcat的用法
朱智文的专栏
09-26 5989
用法:字符串拼接: m.table_Name like concat(concat('%',#{tableName}),'%')----------------------就是拼接成% 变量值% select  *  from  m where  m.name like concatconcat('%','#tableName'),'%');
mapper.xmlconcat语法含义
weixin_37841024的博客
10-06 790
因此,`concat('%', #{dictLabel}, '%')` 的结果是一个新的字符串,它以 `%` 开头,接着是 `dictLabel` 的值,然后以 `%` 结尾。具体而言,`concat('%', #{dictLabel}, '%')` 是一个使用 `concat` 函数的表达式。例如,如果 `dictLabel` 的值为 `example`,那么 `concat('%', #{dictLabel}, '%')` 的结果将是 `%example%`。
MyBatis #{} 和 ${} 的区别
liuyuinsdu的专栏
03-12 1199
1、在MyBatis 的映射配置文件,动态传递参数有两种方式: (1)#{}占位符 (2)${}拼接符 2、#{}和${}的区别 (1) 1)#{}为参数占位符?,即sql 预编译 2)${}为字符串替换,即sql 拼接 (2) 1)#{}:动态解析 ->预编译-> 执行 2)${}:动态解析 ->编译-> 执行 (3) 1)#{}的变量替换是在DBMS 2)${}的变量替换是在DBMS外 (4) 1)变量替换后,...
关于mybatisllike模糊查询#和$的使用
热门推荐
长河的博客
10-14 14万+
mybatis经常要写到like 查询,以前从来没有遇到什么问题,突然遇到一个问题,找了好长时间没找到,最后找到了,是关于#和$的使用的,总结如下: name like 表达式 and falg=#{falg} 本次示例共两个条件,一个是name like 表达式, 还有flag相等,这个是使用#{}占位符,没有任何问题,关键问题就是 表达式的书写.下面来研究下表达式的...
mybatis注解映射SQL示例代码
08-29
MyBatis注解映射SQL示例代码 MyBatis是一款流行的持久层框架,它提供了多种方式来映射SQL语句,其之一便是使用注解的方式。下面我们将通过示例代码来介绍MyBatis注解映射SQL的相关知识点。 结果集分页 在...
MyBatis Dynamic SQL 动态sql案例.zip
最新发布
04-28
在Mabits,动态SQL通常是通过使用一组特殊的标签和代码块来实现的,这些标签和代码块可以根据条件包含或排除不同的部分,从而生成不同的SQL语句。动态SQL可以让开发者构建更灵活、高效的数据库操作语句,因为他们...
mybatis防止SQL注入的方法实例详解
08-27
例如,使用字符串拼接构建 SQL 语句时,直接将用户输入的数据拼接到 SQL 语句。这使得攻击者可以通过构造特殊的输入来 Inject恶意的 SQL 语句,从而获得未经授权的访问权限。 预编译语句 预编译语句是防止 SQL ...
MyBatis的#{}和${}的用法
heliuerya的博客
06-15 2524
在实际开发有些数据量非常大,需要分表存储,然后分表查询,比如:日志信息表基本上是每天一张表,现有多张日志信息表:log_20230101、log_20230102、log_20230103…比如:在查询某班全体学生并按照姓名按照升序/降序排列的sql语句,当需要传入关键字asc"或"desc"的时候需要使用${}而不能使用#{},像这种需要传入。先进行sql语句拼接,然后再编译sql语句,底层是Statement实现。的sql语句需要使用${},其它情况需要使用#{},用来防止出现sql注入现象。
MyBatis模糊查询使用CONCAT('%',#{str},'%')出错
一加一等于十
12-07 1539
经过我一套乱七八糟毫无思路地查找后,发现不是Mybatis的原因,原来是SQL server不支持CONCAT函数,直接用加号连接就好
MyBatis,#{}与${} ?
m7k7k999的博客
01-03 143
MyBatis,#{}与${} 的区别
模糊查
weixin_43343423的博客
09-05 138
concat('%',#{title},'%')
MyBatis#{}和${}的用法
时代各有不同,青春一脉相承。
12-31 660
MyBatis#{}和${}的用法 区别#{}方式能够很大程度上防止sql注入,${}无法防止sql注入。${}方式一般用于传入数据库对象,例如列表和表名,#{}方式一般用来传递接口传输过来的具体数据。由于#{}方式具有更高的安全行,所以能用#{}的地方尽量不要使用${}。Mybatis排序时使用order by动态参数时需要注意,用${}而不是#{}。
mybatisbind标签和concat使用
a116385895的博客
11-07 1244
首先,二种方式都可以用来模糊查询,都能预防 SQL 注入。但是在更换数据库情况下,bind标签通用。 <if test=” userName!= null and userName!=””> and userName like concat('%' ,#{userName},'%') </if> 使用concat函数连接字符串,在mysql这个函数支持多个参数...
Mybatis SQL语句Like查询%${value}%与 #{value} 的区别
qq_42052103的博客
09-11 7327
方法一:  &lt;select id="findUserById" parameterType="int" resultType="fy.po.User"&gt;          select * from user where username like '%${value}%' ; &lt;/select&gt; ${value}必须是value   调用时:sqlSessio...
Mybatissql语句下划线_,百分号%的转义处理---escape的作用
杨杨得懿的博客
05-11 3万+
escape 是sql的关键字,定义转义字符。如下:SELECT * FROM student t where t.name like '%/%' escape '/';执行结果为:SELECT * FROM student t where t.name like '%%' escape '/';执行结果为:注:由此可见,escape '/' 是指用'/'说明在/后面的字符不是通配符,而是普通符...
Mybatis的${}和#{}区别
web18484626332的博客
08-02 8713
动态sqlmybatis的主要特性之一,在mapper定义的参数传到xml之后,在查询之前,mybatis会对其进行动态解析。mybatis为我们提供了两种支持动态sql的语法#{}以及${}提示以下是本篇文章正文内容,下面案例可供参考。...
mybatis使用${}如何防止注入攻击?
07-14
MyBatis使用`${}`进行字符串替换时,存在注入攻击的风险。为了防止注入攻击,可以采取以下措施: 1. 使用参数占位符:推荐使用`#{}`参数占位符,而不是`${}`字符串替换。`#{}`会将参数作为预编译语句的参数传递给数据库,可以防止SQL注入攻击。例如: ```xml <select id="getUserById" parameterType="int" resultType="com.example.User"> SELECT * FROM users WHERE id = #{id} </select> ``` 2. 输入参数校验:在接收用户输入参数时,进行必要的校验和过滤。可以使用正则表达式或其他方法对输入进行验证,确保输入的数据符合预期的格式和范围。 3. 使用特殊字符转义:如果必须使用`${}`进行字符串替换,可以对输入参数进行特殊字符转义。MyBatis提供了`<![CDATA[]]>`标签,可以在XML配置文件对字符串进行转义处理。例如: ```xml <select id="getUserByUsername" resultType="com.example.User"> SELECT * FROM users WHERE username = #{username} AND password = ${username} <![CDATA[ OR 1=1]]> </select> ``` 4. 限制数据库权限:限制数据库用户的权限,确保数据库用户只能执行必要的操作,并对敏感数据进行保护。 综上所述,为了防止注入攻击,推荐使用`#{}`参数占位符,并进行输入参数校验和特殊字符转义。同时,合理设置数据库权限,以保护数据库的安全。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值