【JavaEE】MyBatis 单表查询易错问题(添加后返回自增id,${}与#{},SQL注入,模糊查询)

于 2022-08-19 22:43:25 发布
阅读量496 收藏
点赞数
分类专栏: JavaEE mybatis spring 文章标签: mybatis java-ee sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xqs196301/article/details/126432160
版权
JavaEE 同时被 3 个专栏收录
15 篇文章 1 订阅
订阅专栏
spring
14 篇文章 0 订阅
订阅专栏
mybatis
4 篇文章 0 订阅
订阅专栏

目录

1. 添加用户,返回受影响的行数

UserMapper 接口声明:
在这里插入图片描述
mapper.xml实现如下:
在这里插入图片描述
单元测试如下:
在这里插入图片描述
结果如下:
在这里插入图片描述

2. 添加用户,返回自增的id

mapper接口声明:
在这里插入图片描述
mapper.xml实现:
在这里插入图片描述
单元测试代码:
在这里插入图片描述
结果:
在这里插入图片描述
相关注解:
在这里插入图片描述

  • useGeneratedKeys:令 MyBatis 使⽤ JDBC 的 getGeneratedKeys ⽅法来取出由数据库内部⽣成的主键(⽐如:像 MySQL 和 SQL Server 这样的关系型数据库管理系统的⾃动递增字段),默认值:false。需要手动设置 TRUE
  • keyColumn:设置⽣成键值在表中的列名,在某些数据库(像 PostgreSQL)中,当主键列不是表中的第⼀列的时候,是必须设置的。如果⽣成列不⽌⼀个,可以⽤逗号分隔多个属性名称。(映射数据表中的字段)
  • keyProperty:指定能够唯⼀识别对象的属性,MyBatis 会使⽤ getGeneratedKeys 的返回值或 insert 语句的 selectKey ⼦元素设置它的值,默认值:未设置(unset)。如果⽣成列不⽌⼀个,可以⽤逗号分隔多个属性名称。(映射对应数据表的类的属性)

3. 参数占位符 #{} 和 ${}

  • #{}:预编译处理。
  • ${}:字符直接替换。
  • 预编译处理是指:MyBatis 在处理#{}时,会将 SQL 中的 #{} 替换为?号,使⽤ PreparedStatement 的set ⽅法来赋值。(列如在进行字符串复制时会自动加上 ‘’)
  • 直接替换:是MyBatis 在处理 ${} 时,就是把 ${} 替换成变量的值。

3.1 ${} 优点

在进行需要对查询的结果排序(order)时候就需要使用${},如果使用#{}在进行SQL拼接时候会给排序规则(asc,desc)加上 ’ ’ 导致SQL语句报错

mapper接口:
在这里插入图片描述

mapper.xml实现:
在这里插入图片描述

单元测试:
在这里插入图片描述
在这里插入图片描述
直接替换才能查询成功,使用#{}反而会报错:
在这里插入图片描述

3.2 #{} VS ${} 区别:

  1. 定义不同 : #{} 是预处理,${} 是直接替换
  2. 使用不同:#{} 适用于所有类型的参数匹配,${} 只适用于数值类型
  3. 安全性不同: #{}性能高,并且没有安全问题;但 ${} 存在SQL注入的安全问题

4. SQL 注入问题

假设实现一个登录功能,此时数据库中只有admin一条用户信息(账号密码均为admin):

在这里插入图片描述
mapper接口:
在这里插入图片描述
xml实现:(使用直接替换的${}):
在这里插入图片描述
在正常输入正确的账号密码时候能够实现登录(查询到完整的用户信息):
单元测试代码:
在这里插入图片描述
在这里插入图片描述
sql 注⼊代码:“’ or 1='1”
在这里插入图片描述
发现即使在用户没有正确输入密码的情况下也能成功查询到完整的用户信息:
在这里插入图片描述
这就是SQL注入问题;

结论:用于查询的字段,尽量使用 #{} 预查询的方式。

5. like 查询

在进行like模糊查询时 使⽤ #{} 报错:

mapper接口:
在这里插入图片描述
xml实现:
在这里插入图片描述
单元测试:
在这里插入图片描述
报错:
在这里插入图片描述
原因如下:相当于: select * from userinfo where username like ‘%‘username’%’; 又加了一次 ’ ’ 所以肯定是查询不出来的:
在这里插入图片描述
这个是不能直接使⽤ ${},可以考虑使⽤ mysql 的内置函数 concat() 来处理,实现代码如下:
在这里插入图片描述
在这里插入图片描述
单元测试:
在这里插入图片描述
模糊查询成功~

  • 本篇完 ,over ~
小轩在不在哟
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
DB2单表排序查询报错分析及解决办法
Enmotech的博客
03-09 1666
墨墨导读:客户DB2环境对单表的排序查询报错SQL1585N,本文模拟此报错并进行说明。1. 报错如下SQL1585NAtemporarytablecouldnotbecr...
JavaEE Spring MyBatis如何一步一步实现数据库查询功能
08-24
JavaEE Spring MyBatis如何一步一步实现数据库查询功能 JavaEE Spring MyBatis是一种流行的Java Web应用程序框架,经常用于实现数据库查询功能。MyBatis是一种持久层框架,提供了一个简洁的方式来实现数据库查询...
mybaits 报错之 mysql模糊查询乱码_Mybatis使用MySQL模糊查询输入中文检索,接收到乱码报错
YZRHANYU的博客
05-26 566
mysql模糊查询乱码_Mybatis使用MySQL模糊查询输入中文检索,接收到乱码报错
Mybatis查询方法卡住,也没有错误
天翔空水木的专栏
12-04 6831
背景: 工具:IDEA 项目:spring boot 最近写了了Mybatis 查询数据 ,结果debug 到查询方法的时候,就不动了。也没有报错信息。 排查问题: 1、怀疑是自己查询数据量的问题,导致程序一直在卡? 把查询语句的量设置为最小,只查一两条,不行,依旧卡主 2、是不是自己的log4j 把自己的错误日志给吃了,也就是没有正常捕获。 检查了配置 也没有错。 3|、纠集了大概半小时,好吧...
mybatismapper.xml查询不出数据,结果一直为null问题解决方案
developerFBI的专栏
05-29 5871
1.问题描述:   最近使用ssm框架的时候,遇到一个问题,就是mybatismapper.xml在where传入条件查询不出数据,mapper中写的sql语句放在数据库里面去查询是能查询到数据,但是mapper查询时候,返回的结果为null。 2.其中根据银行名称查询sql语句当传入中文银行名称时,死活查询返回null。于是我在网上查解决方案。 select <include refid="Base_Column_List" /> from parent_bank
JavaWEB实战编程
05-06
    JavaWEB是Java企业级开发平台中的重要组成技术,同时也是所有开发者迈向正规开发的第一步,扎实的WEB技术理解以及良好的WEB程序设计都决定了项目架构的设计基础能力,而通过本课程的学习就可以帮助读者充分的理解WEB开发中的技术特点、性能调优以及项目设计模式,本课程所使用的开发工具为:IDEA    本俄课程主要通过大量的课程代码实例为读者详细的讲解了JSP、Servlet、MVC等JavaWEB中的核心开发技术,同时又通过手工的方式结合反射机制实现了MVC开发框架,这样不仅可以帮助读者更好的理解MVC的设计思想,同时也为后续的SpringMVC开发技术进行了良好的铺垫。        本课程的包含有如下的课程内容:        1、WEB发展模式简介;        2、Tomcat配置与性能调优;        3、JSP内置对象与标签指令的综合讲解;        4、JSP + JavaBean的项目开发实战;        5、FileUpload文件上传支持;        6、Servlet、Filter、Listener、JSTL、EL程序开发;        7、MVC设计模式与MVC开发框架编写;        8、数据库连接池;        9、https协议安全访问与证书配置;        10、JMeter压力测试工具;        11、HttpClient客户端工具类。
JavaEE Mybatis使用
04-16
JavaEE体系中,Mybatis是一个优秀的持久层框架,它简化了数据库与Java代码之间的交互,使得开发者可以更专注于SQL的编写,而无需关心底层数据访问的细节。 Mybatis的核心概念主要包括:SqlSessionFactory、...
javaEE_Mybatis_oracle基于WEB的仓库管理系统的设计与实现(源码+数据库sql+论文+视频齐全).zip
最新发布
05-15
javaEE_Mybatis_oracle基于WEB的仓库管理系统的设计与实现(源码+数据库sql+论文+视频齐全).zip javaEE_Mybatis_oracle基于WEB的仓库管理系统的设计与实现(源码+数据库sql+论文+视频齐全).zip javaEE_Mybatis_oracle...
JavaEE+Mybatis+oracle基于WEB的仓库管理系统的设计与实现(源码+数据库sql+论文).zip
04-04
JavaEE+Mybatis+oracle基于WEB的仓库管理系统的设计与实现(源码+数据库sql+论文) 基于WEB的仓库管理系统主要用于实现仓库的出入库管理,基本功能包括:入库模块、出库模块、商品查看模块、用户注册模块、个人信息...
基于javaEE+Mybatis+oracle仓库管理系统的设计与实现(源码+数据库sql+论文+视频齐全).rar
02-04
基于WEB的仓库管理系统主要用于实现仓库的出入库管理,基本功能包括:入库模块、出库模块、商品查看模块、用户注册模块、个人信息管理模块等。本系统结构如下: 入库模块:入库新商品,或者是入库已有商品。...
MySQL语句单表查询语句需要注意的点
KATANA_的博客
07-09 305
MySQL语句需要注意的点
Java 原生MySQL JDBC 插入后返回自增ID,基于PreparedStatement executeUpdate
Lanerxx的博客
08-19 884
返回ID的核心代码 关键在于PreparedStatement ps = DBConnection.getConn().prepareStatement(sql, Statement.RETURN_GENERATED_KEYS)的Statement.RETURN_GENERATED_KEYS 以及通过以下代码取id ResultSet rs = ps.getGeneratedKeys(); if (rs.next()) return rs.getInt(1); 返回ID的完整代码 //万能修改方法,返回自动
mybatis处理模糊查询
broccoli2的博客
02-05 4227
最近在用SSM+maven做一个项目,项目里面有个搜索功能,现在把mybatis处理模糊查询的过程分享一下。searchCondition.javapackage com.cd.bean; /** * 搜索条件 *@Author zhk *@Date 2018-2-5 **/ public class SearchCondition { String keyword;//搜索关键词
Java-模糊查询
weixin_44550198的博客
09-17 4352
开发工具与关键技术:eclipse 模糊查询 作者:卢远平 撰写时间:2020.9.7 先在dao包中写一个接口方法,并且传入需要模糊查询的两个参数。 接着在com.gx.dao.impl包中实现这个方法,其中最重要的是模糊查询sql语句,分别查询招标编号,拟定标段,然后判断这两个值不为空。 接着遍历查出相应的数据。 接着在servlet获取input文本框里的值 Css样式 实现搜索按钮方法,并且调用servlet方法。 效果: ...
javaWeb06(模糊查询&评论&include指令)
weixin_64313980的博客
04-03 1267
Everybody晚上好! 今天小刘给大家带来的是javaWeb的模糊查询&评论&include指令 依旧是建立在前几期的基础上,我们给新闻添加模糊查询的功能,以及对新闻的评论与include(包含)指令 一,模糊查询 我们在新闻主界面添加查询框 代码展示: <% //接收title String title=request.getParameter("title"); if(title==null){ title=".
java web 模糊匹配查询_Javaweb模糊查询详解
weixin_36183945的博客
02-13 4513
Javaweb是企业级开发程序员的必学课程,在前面的文章中我们也学习了很多javaweb的一些相关知识,今天我们来继续带大家学javaweb的内容——javaweb模糊查询,相信肯定也有朋友遇到过有关javaweb模糊查询问题,那么一起学习下面的内容吧。当程序员需要开发一个方法用来查询数据库的时候,往往会遇到这样一个问题:就是不知道用户到底会输入什么条件,那么怎么样处理sql语句才能让开发的方法...
javasql插入后返回id
hr952909686的博客
06-13 7176
SQLServer: Sql代码 INSERTINTOtable_name(.....)VALUES(......)SELECT@@IDENTITYASaliasname; 上面的语句相当于查询语句,从结果集中使用 getXXX(aliasname) 方法获取主键值。 Oracle: Sql代码 INSERTINTOtable_name(......)...
java 插入表记录后得到自增id (转) (附2种方法代码)
学无止境
01-25 531
原文 http://www.sthelse.com/2010/07/java-to-insert-in-the-main-table-record-id-from-the-table-for-the-main-table-as-a-foreign-key.html#comment-2264 在MySQL中,使用auto_increment类型的id字段作为表的主键,并用它作为其他表的外...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值