记一次在mybatis中使用String字符串作为sql语句 in关键字 后面参数的事故

最新推荐文章于 2024-06-25 04:31:25 发布
最新推荐文章于 2024-06-25 04:31:25 发布
阅读量3.8k 收藏 2
点赞数 1
分类专栏: 实战问题 文章标签: mybatis in后面的传参
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weter_drop/article/details/101063004
版权

业务场景

需要查询出某一个表中 主键 id 在 13,14,15,16的之间的数据,前台传过来的是一个String类型的字符串 “13,14,15,16”。我上去就没多想直接将这个参数传到sql语句中了,
xml中的sql与语句写法如下:

SELECT * from user where  id in ( #{ids} )

结果可想而知一条数据也没有查出来。

解决方案:

使用mybatis的 <foreach> 标签, 并将ids由字符串转换为一个List<String> 类型的数组.

SELECT * from user where  id in
<foreach item="userId" collection="userIds"  open="(" separator="," close=")">
            #{userId}
        </foreach>

		String[] split = userIds.split(",");
        List<String> strings = Arrays.asList(split);

分析原因:

一开始的那种做法相当于把整个userIds当成一个参数,或者说成把 “13,14,15,16” 当成一个id 所以就一个也查询不到了。
这种猜想也在控制台的sql语句中得到印证:

方案一的控制台的sql打印和传参(第一次错误的方式):
 DEBUG o.a.e.i.p.e.J.selectJobsToExecute - ==>  Preparing: SELECT * from user where  id in(?)
 DEBUG o.a.e.i.p.e.J.selectJobsToExecute - ==> Parameters: 13,14,15,16(String)

方案二的控制台的sql打印和传参(解决方案):

DEBUG o.a.e.i.p.e.J.selectJobsToExecute - ==>  Preparing: SELECT * from user where  id in(?,?,?,?)
DEBUG o.a.e.i.p.e.J.selectJobsToExecute - ==> Parameters: 13(String),14(String),15(String),16(String)
T-OPEN
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
MybatisSQL语句的编写.pdf
06-27
MyBatis框架SQL语句的编写是一项核心任务。MyBatis作为一款优秀的持久层框架,支持多种方式来定义SQL语句,包括XML配置文件和注解等方式。本文档主要介绍在XML配置文件如何编写SQL语句,以及相关的属性配置...
Mybatisxml文件如何使用in()查询
dream_girl5的博客
09-28 7816
Mybatis条件查询in的使用 一、前端多选 传字符串类型给后端,用逗号’[,]分隔开 后端用String类型接收该字段 二、前端用list形式传给后端 后端用List形式接收
切割字符串为数组作为字符串参数传入sql的两种方式
taiyangwojiu的博客
12-05 250
切割字符串为数组作为字符串参数传入sql的两种方式方式一: 'XX1','XX2','XX2',方式二: 'XX1','XX2','XX2' 方式一: ‘XX1’,‘XX2’,‘XX2’, ##此方式需要切割最后一个, String reviewReportIds="1,2,3,4,5"; String[] reviewReportAttr = reviewReportIds.slipt(...
MyBatis】驾驭字符串处理的艺术:深入MyBatis字符串问题与对策
最新发布
master_chenchen的博客
06-25 966
MyBatis通过映射文件(XML)或注解,将Java对象映射到数据库表,并提供了丰富的动态SQL功能,其字符串处理尤为关键。动态SQL:允许根据条件动态生成SQL语句,包括字符串的条件判断、拼接等。类型处理器:自动处理Java类型与SQL类型的转换,包括字符串的编码和解码。参数绑定:安全高效地处理SQL参数,避免SQL注入等问题。MyBatis在处理字符串数据方面展现出了高度灵活性和安全性,通过深入理解其字符串处理机制,开发者能够有效应对各类字符串相关的问题,保障数据处理的准确与安全。
mybatis参数为一个String类型的字段时,应该怎么写if条件判断
qq_31542611的博客
04-11 1770
mybatis的mapper.xml文件写sql的时候,如果参数是一个String类型的变量,写if判断的时候用“_parameter”来表示。 dao层接口代码: //根据月份查询员工入职信息 List<Employee> queryListByMonth(String month); xml文件sql写法 <select id="queryListByMonth" parameterType="String" resultType="com.core.iaas.models.
Mybatis语句转为正常sql语句小工具
m0_56207613的博客
08-24 1319
Mybatis底层就需要SqlSessionFactory ->获取Configuration ->创建SqlSource ->创建MappendStatement对象 ->创建。实习的公司在做一个商业BI,甩给我一个需求,需要我支持mybatis语句输入。但是它固定了返回类是一个List,和源代码获取ResultSet类相差甚远,然后我就根据网上的方法和gpt自己摸索出来。最后的这个BoundSql对象是Mybatis最核心的部分,它会解析出sql语言和对应的入参。最后只需要把sql语句的?
Mybatis 框架下 SQL 注入攻击的 3 种方式,真是防不胜防
互联网架构小马的博客
10-20 532
前言 SQL注入漏洞作为WEB安全的最常见的漏洞之一,在java随着预编译与各种ORM框架的使用,注入问题也越来越少。 新手代码审计者往往对Java Web应用的多个框架组合而心生畏惧,不知如何下手,希望通过Mybatis框架使用不当导致的SQL注入问题为例,能够抛砖引玉给新手一些思路。 一、Mybatis的SQL注入 MybatisSQL语句可以基于注解的方式写在类方法上面,更多的是以xml的方式写到xml文件。 MybatisSQL语句需要我们自己手动编写或者用generator自动生成
mybatis Mapper.xml传参多选 字符串形式逗号分隔 AND拼接OR.rar
07-12
标题和描述所提及的问题是关于如何在Mapper.xml文件处理字符串形式的参数,这些参数由逗号分隔,并在`AND`语句拼接`OR`子句来实现动态查询。这种场景在处理用户多选过滤条件时非常常见,比如在一个搜索框,...
Mybatis plus使用in查询出错如何解决
08-18
使用Mybatis plus提供的QueryWrapper方法时,如果将in查询的参数作为字符串传递,例如`String masterIds = "81554,5654,55948,48945"; pauperqw.in("user_id", masterIds);`,可能会导致查询结果与数据库的数据...
Mybatis执行String类型的自己拼写的sql,不执行配置文件的sql
03-06
MyBatis框架,有时候我们可能需要在代码直接编写SQL语句,而不是通过XML配置文件来执行SQL。这种情况通常发生在动态SQL或者特定场景下的临时查询。本篇文章将详细探讨如何在MyBatis执行String类型的自定义...
解决sql server保存对象字符串转换成uniqueidentifier失败的问题
12-14
在Hibernate映射文件,ID的生成策略设置为`uuid.hex`,这意味着在持久化对象时,会尝试将一个由`uuid.hex`生成的16进制字符串转换为`uniqueidentifier`,导致了错误。 解决这个问题的方法是将映射文件的ID生成...
一些特殊SQL使用Mybatis的#{}和${}注意点
神笔码农.的博客
10-18 2079
Mybatis对JDBC进行了进一步封装,使得我们可以更加便捷的使用Java操作数据库。#{}和${}在大部分情况下,#{}和${}都能相互替代,使用两者之一即可,更加推荐使用#{},因为可以防止SQL注入问题,但是由于#{}和${}本质上的不同,部分SQL语句使用#{}和${}需要格外注意。
mybatis:字符串转成数组拼接成SQL
weixin_30892987的博客
08-08 805
<foreach item="item" index="index" collection="str.split(',')" open="(" separator="," close=")">#{item}</foreach> 这里调用了java的split方法,把str分成了一个数组. 转载于:https://www.cnblogs.com/huiy/p/11...
mybatis动态生成sql语句简单实例
好奇心大爆炸
11-14 529
官网 https://mybatis.org/mybatis-3/zh/dynamic-sql.html 动态sql之if 概念 If标签用于条件判断,当条件成立就附加<if></if>之间的sql语句,如果条件不成立就不附加<if></if>之间的sql语句。 <if test=”xxx”> ......</if> <select id="getPersonByCodition" parameter..
String数组转换拼接成SQL in条件字符串
向着高亮的地方
08-04 7502
public String delaType(String types){       StringBuffer sb = new StringBuffer();       for(int i=0;i&lt;types,length;i++){      //主要判断是否是最后一个条件      if(type.length-1){      sb.append(" ' "+types...
SpringBoot项目Mybatis自定义SQL处理前端带逗号的多ID加入到IN条件
bufegar0的博客
01-11 767
1.需求描述 1.1前端接收数据格式如下 ids=1,2,3,4 1.2自定义SQL作为IN里面的查询语句 select * from mate_test where id in (#{ids}) # 如果这样写,发现最终生成的语句如下: select * from mate_test where id in ('1,2,3,4') 1.3期望的结果 # 如果这样写,发现最终生成的语句如下: select * from mate_test where id in ('1','2','3','4') 2
Mybatis @Select注解,使用in传入ids数组作为参数
热门推荐
qq_2300688967的博客
07-24 4万+
使用ids集合作为参数时,首先想应该是如下做法: @Select("select id, name, user_id from label where id in &lt;foreach collection=\"ids\" index = \"index\" item = \"id\" open= \"(\" separator=\",\" close=\")\&quot
sql查询时in传入的是string而不是int导致本来查询的多个查成了一个
whatevery的博客
02-19 737
我的sql查的是6条数据,但是总是显示一条。 直到我看到我的这个sql的时候,我带入的参数String类型,在in会自动拼接’’,所以查询出来是一条数据 只需要把in()改为FIND_IN_SET(id, ‘1,2,3,4’) 即可 这样在查询的时候就不会出问题了 ...
Mybatis 传入String 类型的动态参数如何写?
k826240369的博客
04-03 2512
&lt;select id="queryCommunicationFieldByType" resultType="reconnoitreCommunicationField" parameterType="String"&gt; SELECT * FROM tb_reconnoitre_communication_field WHERE commun_status = 'Y'       &l...
使用mybatis时,传入参数为map,map有的参数为int,有的为字符串sql语句到数据库的时候能分辨吗
06-08
MyBatis,当我们使用`Map`作为参数传递给SQL语句时,MyBatis会自动根据SQL语句的占位符(`#{}`)的类型来将`Map`参数转换为对应的类型。 例如,假设我们有如下的SQL语句: ``` SELECT * FROM users WHERE ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

T-OPEN

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值