mybatis第五天 驼峰规则/自增主键的获取以及SQL注入的演示

已于 2024-01-25 18:11:36 修改
阅读量404 收藏 6
点赞数 9
文章标签: mybatis
于 2024-01-25 15:43:16 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_58026642/article/details/135846291
版权

1: 开启驼峰模式

当settings 中没有开启驼峰模式的时候 ,如果数据库中存在user_address这样包含下划线的字段的时候
如果没有使用 resultMap 来手动映射 pojo 与 mysql 字段,那么 查询出来的字段会是空的
这是后可以开启驼峰模式(前提是pojo的属性是符合驼峰规范的)
如:  user_address  ----   private String userAddress;
在核心配置文件中<settings>下添加  
<setting name="mapUnderscoreToCamelCase" value="true"/>

2: 准备表以及验证开启驼峰规则以及别名

准备表:
CREATE TABLE `t_student` (
  `id` bigint AUTO_INCREMENT PRIMARY KEY,
  `name` varchar(100) DEFAULT NULL,
  `age` int(3) DEFAULT NULL,
  `user_address` varchar(100) DEFAULT NULL,
  `gradeId` int
) ENGINE=InnoDB DEFAULT CHARSET=utf8;

CREATE TABLE `t_grade` (
  `id` int AUTO_INCREMENT PRIMARY KEY,
  `name` varchar(100) DEFAULT NULL
) ENGINE=InnoDB DEFAULT CHARSET=utf8;


package org.wl.pojo;

import java.io.Serializable;

public class Student implements Serializable {
    private Long id;
    private String name;
    private String stuAddress;
    private Integer age;
    private Integer gradeId;

    public Student() {
    }

    public Long getId() {
        return id;
    }

    public void setId(Long id) {
        this.id = id;
    }

    public String getName() {
        return name;
    }

    public void setName(String name) {
        this.name = name;
    }

    public String getStuAddress() {
        return stuAddress;
    }

    public void setStuAddress(String stuAddress) {
        this.stuAddress = stuAddress;
    }

    public Integer getAge() {
        return age;
    }

    public void setAge(Integer age) {
        this.age = age;
    }

    public Integer getGradeId() {
        return gradeId;
    }

    public void setGradeId(Integer gradeId) {
        this.gradeId = gradeId;
    }

    @Override
    public String toString() {
        return "Student{" +
                "id=" + id +
                ", name='" + name + '\'' +
                ", stuAddress='" + stuAddress + '\'' +
                ", age=" + age +
                ", gradeId=" + gradeId +
                '}';
    }
}
接口
public interface StudentService {
    Student findStuById(Integer id);
}
实现类
public class StudentServiceImpl implements StudentService {
    @Override
    public Student findStuById(Integer id) {
        SqlSession sqlSession = SqlSessionUtil.getSqlSession();
        StudentMapper studentMapper = sqlSession.getMapper(StudentMapper.class);
        return studentMapper.findById(id);
    }
}
mapper接口
public interface StudentMapper {
    Student findById(@Param("id") Integer id);
}
mapper.xml

<select id="findById" resultType="student">
    select * from t_student where id = #{id}
</select>
注意 resultType="student"  是因为开启了别名的配置  <package name="org.wl.pojo"/>  
   <settings>
        <setting name="logImpl" value="SLF4J"/>
        <setting name="mapUnderscoreToCamelCase" value="true"/>
    </settings>
    <typeAliases>
        <!-- <typeAlias alias="User" type="org.wl.pojo.User"/>  -->
        <package name="org.wl.pojo"/>  
    </typeAliases>

3 : 验证获取自增主键

useGeneratedKeys 用于在insert的时候返回自增主键
    @Test
    public void insert(){
        StudentService studentService = new StudentServiceImpl();
        Student student = new Student();
        student.setName("lin00i");
        student.setAge(20);
        student.setStuAddress("gz");
        student.setGradeId(2);
        Long id = studentService.insertStudent(student);
        System.out.println(id);
    }
    
     Long insertStudent(Student student);
         public Long insertStudent(Student student) {
        SqlSession sqlSession = SqlSessionUtil.getSqlSession();
        StudentMapper studentMapper = sqlSession.getMapper(StudentMapper.class);
        studentMapper.insertStudent(student);
        sqlSession.commit();
        sqlSession.close();
        return student.getId();
    }
    
public interface StudentMapper {
    Student findById(@Param("id") Integer id);

    Integer insertStudent(Student student);
}

<insert id="insertStudent" parameterType="student" useGeneratedKeys="true" keyColumn="id" keyProperty="id">
    insert into t_student(name,age,stu_address,gradeId) values(#{name},#{age},#{stuAddress},#{gradeId});
</insert>

4 #{} 和 ${} 的区别

#{}和${}都可以在MyBatis中用来动态地接收参数
1: #{} :预编译处理  MyBatis在处理#{}时,会将SQL语句中的#{}替换为?,即占位符,然后使用PreparedStatement的set方法来赋值
在拼接参数时会给参数加上引号  
2:${} :直接替换  MyBatis在处理${}时,会直接将SQL语句中的${}替换为参数的值,拼接参数时不会加引号
3:${} 可以使用在比如排序 或者 类似于日志表根据每天存的数据分别放在不同的表,当需要查询某一天的数据的时候
动态的拼接表前缀等类似的情况下更适用
4:${} 还会产生sql 注入的问题:如
代码示例
        String id = "'admin'; DROP TABLE t_user;";
        userService.queryUserById(id);
    <select id="queryUserById" parameterType="String" resultType="user">
        select * from t_user where id = ${id}
    </select>     
查询结果
    public void testQuerySqlInject(){
        UserService userService = new UserServiceImpl();
        String id = "'admin'; DROP TABLE t_user;";
        userService.queryUserById(id);
    }   
执行完成之后 会发现数据库的表被删除了    
2024:01:25 17:02:29.750 [main] DEBUG o.wl.mapper.UserMapper.queryUserById -- ==>  Preparing: select * from t_user where id = 'admin'; DROP TABLE t_user;
2024:01:25 17:02:29.781 [main] DEBUG o.wl.mapper.UserMapper.queryUserById -- ==> Parameters: 
2024:01:25 17:02:29.863 [main] DEBUG o.wl.mapper.UserMapper.queryUserById -- <==      Total: 0
2024:01:25 17:02:29.863 [main] DEBUG o.wl.mapper.UserMapper.queryUserById -- <==    Updates: 0
2024:01:25 17:02:29.864 [main] INFO  org.wl.impl.UserServiceImpl -- user is null      
//
-- priceindex.t_user definition
备份删除的表
CREATE TABLE `t_user` (
  `id` varchar(100) NOT NULL,
  `name` varchar(100) DEFAULT NULL,
  `age` int(11) DEFAULT NULL,
  `user_address` varchar(100) DEFAULT NULL
) ENGINE=InnoDB DEFAULT CHARSET=utf8;

将${} 变为 #{} 时
    <select id="queryUserById" parameterType="String" resultType="user">
        select * from t_user where id = #{id}
    </select>
执行日志
2024:01:25 17:09:59.522 [main] DEBUG o.wl.mapper.UserMapper.queryUserById -- ==>  Preparing: select * from t_user where id = ?
2024:01:25 17:09:59.551 [main] DEBUG o.wl.mapper.UserMapper.queryUserById -- ==> Parameters: 'admin'; DROP TABLE t_user;(String)
2024:01:25 17:09:59.626 [main] DEBUG o.wl.mapper.UserMapper.queryUserById -- <==      Total: 0
2024:01:25 17:09:59.627 [main] INFO  org.wl.impl.UserServiceImpl -- user is null 

Parameters: 'admin'; DROP TABLE t_user;(String)   这个会被预编译为一个参数 作为参数值而不会变成两个sql
不会出现sql 注入的情况
Java 码农
关注
  • 9
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
Mybatis设置
Airuiliya520的博客
08-19 9389
一、 mysql数据库的(int类型的) 1 创建一个表,设置表的id(此id必须是int类型),设置为auto_increment自类型 2 映射文件配置如下: <insert id="insertUser" parameterType="com.dahuici.zyb.entity.User" useGeneratedKeys="true" keyProperty="id"> insert into user(name,sex,age) values(#{na
Oracle在MybatisSQL语句的配置方法
09-09
在本文中,我们将深入探讨如何在Mybatis中配置Oracle SQL语句,以及如何映射实体类来实现数据的删改查操作。 首先,Oracle数据库中的字段名通常遵循下划线命名法,例如`P_NAME`。而在Java实体类中,我们通常使用...
MyBatis基本用法-
qq_41177135的博客
07-21 3590
MyBatis基本用法-
数据库ID自,两种方法获取插入数据库那条数据自动生成的ID值
最新发布
m0_70325779的博客
04-23 1498
在开发过程中,我们可能会遇到这样的一种情况,我们保存一条数据。如果这条数据的ID是由用户决定的,这样我们在获取ID的时候,只需要让前端的同时传递给我们就可以了;如果ID设置为自,是在用户新数据操作时自动生成的,在后续业务逻辑中需要使用生成的ID值,我们又该如何获取呢?本篇我们就来说说两种常用方法获取自动生成的ID;
Mybatis 获取
dingd1234的博客
02-20 9353
一、MySQL 获取 若数据库支持自动生成(比如 MySQLSQL Server),则可以设置 useGeneratedKeys=“true”,表明使用自获取值策略,然后再利用 keyProperty 属性指定对应的属性,也就是 Mybatis 获取值后,将这个值封装给 JavaBean 的哪个属性。 <insert id="addEmp" databaseId="mysql" parameterType="employee" useGeneratedKeys="
mybatis中设置
你好
06-07 7111
记录一下自己犯的很蠢的问题,记性不好怕忘 在mybatis配置文件中加入: <settings> <!-- 允许JDBC支持自动生成,需要驱动兼容。 如果设置为true则这个设置强制使用自动生成,尽管一些驱动不能兼容但仍可正常工作(比如 Derby)。 --> <setting name="useGeneratedKeys" value="true" /> </settings> useGeneratedKeys 参数只针对 insert 语句
Mybatis---mybatis插入数据后返回自ID的两种方式
weixin_58419099的博客
05-20 3626
/insert>
mybatisplus解决驼峰命名映射问题详解
09-08
MyBatisPlus(简称MP)是MyBatis的扩展库,它提供了许多便捷的功能,包括自动驼峰命名映射。在处理数据库与Java对象之间的数据转换时,有时会出现数据库字段名称与Java实体类属性名称不匹配的问题,尤其是当数据库...
spring-boot+tk.mybatis通用mapper
08-25
同时,可以配置tk.mybatis的通用Mapper插件,如开启驼峰命名转换,实体类和表字段之间的映射规则。 3. **创建数据库连接**: 使用Spring Boot提供的DataSource配置,如JDBC连接字符串、用户名和密码,以建立与...
Mybatis讲义laodu
11-13
MyBatis是一个优秀的持久层框架,它支持定制化SQL、存储过程以及高级映射。这篇讲义要介绍了MyBatis的基础知识、入门程序、核心配置文件详解、手动实现MyBatis框架、在Web中应用MyBatis、使用Javassist生成类、...
mybatis-plus-demo.zip
07-22
例如,数据源配置、MyBatis-Plus 的全局配置(如是否开启自动驼峰命名规则转换)等。 8. **分页插件**: MyBatis-Plus 提供了分页插件,它可以自动完成物理分页,只需在 Service 方法中传入 `Page` 对象即可。分页...
mybatis获取的值
11-28
mybatis获取的值 ,mybatis获取的值!
Mybatis-plus实现和自动注入时间的示例代码
08-18
要介绍了Mybatis-plus实现和自动注入时间的示例代码,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Mybatis使用useGeneratedKeys获取的方法
08-25
要给大家介绍了关于Mybatis使用useGeneratedKeys获取的相关资料,文中通过示例代码介绍的非常详细,对大家学习或者使用Mybatis具有一定的参考学习价值,需要的朋友们下面来一起学习学习吧
mybatis数据输出-驼峰命名规则设置
小丁的博客
12-07 863
MyBatis的配置文件中,的原理是将数据库表字段的命名从下划线分隔(例如user_name)转换为驼峰式(例如userName)映射到Java对象的属性。当MyBatis初始化时,它会读取这个配置并创建一个Configuration对象。在这个对象中,MyBatis会维护一个TypeHandlerRegistry,它负责将数据库字段的类型和Java的类型进行映射。
Mybatis返回自动递值,通过实体
laterstage的博客
09-21 463
这个示例演示了如何使用 MyBatis 返回自动递值。确保你的数据库表中有一个自动递列,并配置 MyBatis 来使用它。这个方法在大多数常见的关系型数据库系统中都可以工作,例如 MySQL、PostgreSQLSQL Server 等。如果你在数据库中使用了自动递(通常是整数类型),你可以使用 MyBatis 来返回插入记录后生成的自动递的 ID。MyBatis 会自动将生成的自动递 ID 赋给。属性设置为数据库表中自动递列的名称,这里是。,表示要使用数据库生成的
MyBatis获取值的两种方式及源码浅析
weixin_33810006的博客
12-10 373
昨天在做项目的时候遇到了一个坑,没错,就是获取MyBatis值的坑。因为之前一直用ibatis,所以惯性的用了ibatis的写法,结果返回的值一直是1(受影响的行数)。于是去翻了翻MyBatis的源码,发现它把值放到了参数对象上,获取值需要用参数对象去get值。真是坑。我先把解决办法放出来,然后再接着分析MyBatis的源码是怎么...
Mybatis 获取ID的几种方式
机械工程跑路哥
01-29 2035
很多时候新了一条数据之后,不仅要知道是否插入成功,还需要获取存入之后的id 以便后续使用。Mybatis在数据添加成功后会将insert的数据的返回赋到实体类对象中,用户可以直接通过对象.getId()获取!指定了要将自动生成的值赋给 id 属性。插入操作完成后,通过访问 id 属性即可获取到自动生成的值。即选择当前表中最大的id作为id,实现了自效果;注解来为任意SQL语句来指定值,作为列的值。指定了要将自动生成的值赋给 id 属性;表示开启自动生成的功能,
Mybatis使用Oracle数据库
心寒的博客
03-20 2078
Mybatis使用Oracle数据库
2024最新MyBatis CRUD操作,动态SQL HM
03-21
在本文中,我们将探讨MyBatis框架在2024年的最新应用,包括CRUD操作和动态SQL,以及如何在实际项目中应用这些技术。我们将以《tlias智能学习辅助系统》中的员工管理需求为例,来详细讲解每个步骤。 首先,CRUD操作...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值