源码分析 iBatis简单动态SQL处理($$)

最新推荐文章于 2022-03-02 01:45:42 发布
最新推荐文章于 2022-03-02 01:45:42 发布
阅读量299 收藏
点赞数
分类专栏: iBatis 文章标签: iBatis

  在iBatis中对于$param$的处理方法是怎么样的呢?下面将通过源码解读具体的处理逻辑

 

public class SimpleDynamicSql implements Sql {

  private static final Probe PROBE = ProbeFactory.getProbe();

  // 分词字符
  private static final String ELEMENT_TOKEN = "$";

  private String sqlStatement;

  private SqlMapExecutorDelegate delegate;

  public SimpleDynamicSql(SqlMapExecutorDelegate delegate, String sqlStatement) {
    this.delegate = delegate;
    this.sqlStatement = sqlStatement;
  }
// 获取sql
  public String getSql(StatementScope statementScope, Object parameterObject) {
    return processDynamicElements(sqlStatement, parameterObject);
  }

  public ParameterMap getParameterMap(StatementScope statementScope, Object parameterObject) {
    return statementScope.getParameterMap();
  }

  public ResultMap getResultMap(StatementScope statementScope, Object parameterObject) {
    return statementScope.getResultMap();
  }

  public void cleanup(StatementScope statementScope) {
  }
// 如果sql不为null且存在$则认为是简单动态sql
  public static boolean isSimpleDynamicSql(String sql) {
    return sql != null && sql.indexOf(ELEMENT_TOKEN) > -1;
  }

  private String processDynamicElements(String sql, Object parameterObject) {
  // 新建一个分词工具
    StringTokenizer parser = new StringTokenizer(sql, ELEMENT_TOKEN, true);
    StringBuffer newSql = new StringBuffer();

    String token = null;
    String lastToken = null;
	//如果sql中含有$
    while (parser.hasMoreTokens()) {
	// 获取第一个分词对象
      token = parser.nextToken();
		//如果最后一个分词对象等于$
      if (ELEMENT_TOKEN.equals(lastToken)) {
        if (ELEMENT_TOKEN.equals(token)) {
          newSql.append(ELEMENT_TOKEN);
          token = null;
        } else {
// 如果lastToken=$且token不等于$则将token替换为token对应的属性值,默认为空字符串
          Object value = null;
          if (parameterObject != null) {
            if (delegate.getTypeHandlerFactory().hasTypeHandler(parameterObject.getClass())) {
              value = parameterObject;
            } else {
              value = PROBE.getObject(parameterObject, token);
            }
          }
          if (value != null) {
            newSql.append(String.valueOf(value));
          }
          //获取下一个分词,如果下一个分词不是$则抛出异常
          token = parser.nextToken();
          if (!ELEMENT_TOKEN.equals(token)) {
            throw new SqlMapException("Unterminated dynamic element in sql (" + sql + ").");
          }
          token = null;
        }
		// 如果最后一个分词对象不等于$
      } else {
	     //如果当前分词不是$在将当前分词追加在newSql中
        if (!ELEMENT_TOKEN.equals(token)) {
          newSql.append(token);
        }
		// 如果当前分词等于$则不做任何处理
      }
		//将当前分词赋值给最后一次分词
      lastToken = token;
    }

    return newSql.toString();
  }


}

 

 例如:select * from $a$,param={a,tax_refund_info}的分词结果是:


select * from

$

a

$

第一次循环:
  lastToken=null,
  token=select*from
 
  lastToken!=$

  newSql=select* from
 
 lastToken=select*from
 
第二次循环
  lastToken=select * from
  token=$
 //doNothing
 lastToken=$
第三次循环
  lastToken=$
  token=a;
 
  newSql=select * from tax_refund_info
 
 第三次循环
   lastToken=a;
   token=$
   //doNothing
   newSql=select * from  tax_refund_info
  
 我们可以发现这样的查询完全无法防止SQL注入攻击。

 

陈脩
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ibatis中 $ 于 # 的 区别
03-02
ibatis中 $ 于 # 的 区别 ibatis中 $ 于 # 的 区别
ibatis打印sql
03-21
标题 "ibatis打印sql" 涉及到的是在使用iBATIS(一个轻量级的持久层框架)时如何调试和查看SQL语句的方法。iBATIS允许开发者编写SQL语句并将其与Java代码集成,以实现灵活的数据访问。在开发过程中,为了调试和优化...
Ibatis动态SQL标签用法
热门推荐
JAVA架构师成长之路
10-20 3万+
对于一些特殊符号,如大于号>、小于号 1、动态SQL片段 通过SQL片段达到代码复用 动态条件分页查询 -->         sql id="sql_count">                 select count(*)         sql>         sql id="sql_select">                 select
ibatis里关于$ and # 一些理解(收集)
RaoFaming的博客
05-06 179
iBATIS使用$和#的一些理解 我们在使用ibatis时会经常用到#这个符号。 比如: sql 代码 select * from member where id =#id# [/pre] 然后,我们会在程序中给id这个变量传递一个值,ibatis会自动将#id#转成我们传递的内容。 但是我最近碰到一个奇怪的问题。我在批量删除或修改的时候,居然sql失效了。 sq...
ibatis中 #和$ 区别
w__yi的专栏
07-13 382
IbatiS的select中有两个占位符 # 和 $    我们先看一个查询语句:     select * from user where Name = #userName#; ibatis解析成:select * from user where Name = ? 这样的语句,然后在填充参数。        select * from user where Name = ‘$user
iBatis对SQL语句的解析。
孤芳不自赏
08-21 941
这里所说的SQL解析只是针对在iBatis配置文件中所定义的SQL语句。和标准的SQL语句不同的是,参数的赋值是“#”包裹的变量名。如何解析这个变量就是iBatis要完成的工作。当然SQL的表达形式还有很多其他形式,如动态SQL等。 当我们执行如下查询方法时: accountDAO.selectAccountById(account) iBatis将会选择前面那个Statement来解析,...
iBATIS-SqlMaps-中文教程
07-31
11. **源码分析**:对于进阶读者,可以进一步研究iBATIS源码,了解其实现原理,有助于更深入地理解框架。 12. **工具支持**:介绍一些辅助开发的工具,如MyBatis Generator,它可以自动生成iBATIS相关的Java代码...
ibatis源码
01-14
iBatis源码分析中,我们首先要关注的是其核心组件,包括SqlSessionFactoryBuilder、SqlSessionFactory、SqlSession和Executor等。SqlSessionFactoryBuilder负责创建SqlSessionFactory,它是整个iBatis系统的核心...
iBATIS框架源码剖析源码
10-25
通过深入分析iBATIS源码,开发者不仅可以了解其工作原理,还能学习到设计模式、数据库访问的最佳实践以及如何优雅地处理数据库操作。对于提升Java开发者的技能和理解数据库访问层的实现有极大的帮助。在实际开发中...
ibatis使用中遇到sql语句中有$和#的处理方法
xiaoxin
01-03 430
最近搞oracle text的全文检索功能,发现在项目中使用ibatis在查询ctxsys.dr$class这个表时,总是报错,错误如下 com.ibatis.common.jdbc.exception.NestedSQLException: --- The error occurred in com/tc/fts/ibatis/map/CTXSYS_DRCLASS_SqlMap.xml....
ibatis sql中$和#的区别
it帝国的博客-辉
10-10 3785
情况:      今天碰到一个情况,就是一个列表页面,有多个刷选条件,如图 其实做起来很简单,相信没有任何难度,就是有些人就是会根据这4个条件各自写一段sql语句来获取数据。但我现在想直接用一条sql语句(其它都是一样的,只是刷选条件不一样),所以我的想法是把刷选的条件,以及刷选的方式(升序,降序)当成类似于变量的方式,这样就比各自写sql要简单很多 问题现象:
实现Ibatis的动态解析SQL功能
huiy的专栏
05-10 364
曾几何时,一直想实现Ibatis的动态解析SQL功能,前些日子写了一个,基本实现( [color=red]暂不支持嵌套标签[/color]): [code="java"] import java.io.File; import java.util.HashMap; import java.util.Iterator; import java.util.List; import jav...
iBatis——执行原理
weixin_34379433的博客
11-27 106
a)执行原理 1、将一个对象作为 参数(对象可以是Java Bean,Map实现和基本类型的包装类),参数对象将为SQL修改语句和查询语句设定参数值。 2、执行 mapped statement。这是SQL Maps最重要的步骤。SQL Map框架将创建一个PreparedStatement实例,用参数对象为PreparedStatement实例...
Ibatis中#与$的区别
Aubergines的专栏
11-27 722
前言:昨天一个项目中在写ibatis中的sql语句时,order by #field#, 运行时总是报错,后来上网查了查,才知道这里不该用#,而应该用KaTeX parse error: Expected 'EOF', got '#' at position 7: ,随即查了下#̲与的区别. 总结如下: #是把传入的数据当作字符串,如#field#传入的是id,则sql语句生成是这样,order...
css的ibatis学习笔记--sql替换
chenshangsong的专栏
04-10 104
ibatis拥抱sql,在其sqlmapping中有各种sql的定义,定义中有#,$等占位符。那么ibatis是在哪里处理这些语句的呢? 每条定义(statement)对应一个MappedStatement, 来看MappedStatement的源代码。以queryForList为例: 在sqlMapExecutorDelegation中调用 ms.executeQueryForLi...
ibatis 中#和 $ 符号的区别
diangui9878的博客
04-10 211
1、数据类型匹配 #:会进行预编译,而且进行类型匹配(自动确定数据类型); $:不进行数据类型匹配。 2、实现方式: # 用于变量替换(先生成一个占位符,然后替换) select * from users where name = #name# 等效于 prepareStement=stmt.createPrepareStement("sel...
ibatis中#和$符号的区别
九师兄
03-21 1929
ibatis中#和$符号的区别 在我们使用ibatis过程中,写sqlmap配置文件时经常会用到两个特殊的传值符号#和$符合,下面根据个人的分析总结,两者的区别。 数据类型匹配 :会进行预编译,而且进行类型匹配; $:不进行数据类型匹配。 如: 变量name的类型是string, 值是”张三”的时候 $name$ = 张三 #name...
Ibatis中#和$两个符号的使用区别
shoubuliaolebu的专栏
08-08 641
转自:http://www.mysjtu.com/page/M0/S542/542113.html 一般在Ibatis动态SQL部分,使用例如#id#,$id$这样的格式, 1、在复杂动态SQL语句中,类似#field#,如果field变量值为id,则Ibatis会将#field#转换为‘id’;      例如:                    SELECT * FROM PRO
Mybatis-构建SQL语句
金鳞踏雨
03-02 1396
SQL构建对象介绍 我们之前通过注解开发时,相关 SQL 语句都是自己直接拼写的。一些关键字写起来比较麻烦、而且容易出错。 MyBatis 给我们提供了 org.apache.ibatis.jdbc.SQL 功能类,专门用于构建 SQL 语句。
iBATIS 3.0动态SQL设计解析与2.x对比
"这篇文章主要解析了iBatis 3.0版本中动态SQL的设计,并与2.x版本进行了对比,探讨了两者之间的差异。作者强调,3.0版本对2.x进行了全面改革,其中DynamicSql部分采用了Interpreter模式进行实现。文章通过分析2.x和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值