MyBatis list Contains MyBatis 动态SQL 判断List Contains

最新推荐文章于 2025-04-10 09:04:51 发布
原创 最新推荐文章于 2025-04-10 09:04:51 发布 · 1.5w 阅读 · 15 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#List contains #MyBatis 动态SQL

本文介绍了如何在MyBatis动态SQL中使用ListContains方法来判断集合是否包含特定元素,并根据判断结果动态添加SQL查询条件。通过示例展示了针对字符串和数字类型列表的用法,并强调了equals方法的重要性。同时提醒注意ListContains与String类contains方法的区别,以及在实际应用中的潜在问题。
该文章已生成可运行项目,

MyBatis list Contains MyBatis 动态SQL 判断List Contains

一、情景描述

        在使用MyBatis 动态SQL查询时,有时候需要判断集合中是否有某个元素,若存在则 动态添加某个 表的关联查询 (常见场景:统计的时候,动态添加某个统计项,需要从关联表中查询),不存在,则不进行任何操作。

        在MyBatis 动态SQL中,如何实现呢?

二、代码演示

        1、在Java代码中,有2个类型的list,分别是 字符串strList 和 数字类型的 intList

ArrayList<String> strList = Lists.newArrayList();
strList.add("apple");
strList.add("orange");
strList.add("banana");

ArrayList<Integer> intList = Lists.newArrayList();
intList.add(111);
intList.add(222);
intList.add(333);

        2、字符串strList MyBatis 动态SQL写法儿如下:

<!-- 测试 strList contains 方法 -->
<if test="strList != null and strList.size() > 0 and strList.contains('apple')">
    AND 'apple' = 'apple'
</if>
<if test="strList != null and strList.size() > 0 and strList.contains('orange'.toString())">
    AND 'orange' = 'orange'
</if>
<if test='strList != null and strList.size() > 0 and strList.contains("banana")'>
    AND 'banana' = 'banana'
</if>

        3、数字类型的 intList MyBatis 动态SQL写法儿如下:

<!-- 测试 intList contains 方法 -->
<if test="intList != null and intList.size() > 0 and intList.contains(222)">
    AND 222 = 222
</if>
<if test="intList != null and intList.size() > 0 and intList.contains('333')">
    AND 333 = 333
</if>

 

 

三、总结

        1、MyBatis 动态SQL借助功能强大的基于 OGNL 的表达式,在写动态SQL时,可以把代码直接在Java程序中运行、测试。 Java程序可以满足,动态SQL一般都可以满足。(不确定?)

        2、注意list的contains方法,是判断集合中是否包含某个元素,最终调用的是 indexOf方法,若判断集合中是否包含某个对象,注意要重写equals方法,否则可能会出现不符合预期结果的情况。

 

        3、注意list的contains方法和String类的contains方法进行区分,前者是判断集合中是否包含某个元素,后者是 判断字符串中是否包含某个字符串。 如上述示例中,若动态SQL这样写,条件是不会执行的。

<if test='strList != null and strList.size() > 0 and strList.contains("ban")'>
    AND 'ban' = 'ban'
</if>

参考资料:动态 SQL_MyBatis中文网

本文章已经生成可运行项目
Springboot 自定义 Mybatis拦截器,实现 动态查询条件SQL自动组装拼接(玩具)
默默不代表沉默
08-17 6844
Springboot 封装整活 Mybatis 动态查询条件SQL自动组装拼接
MyBatis动态SQL高级标签使用方法指南
It_BeeCoder的博客
02-15 2465
本文介绍了Springboot项目中SQL映射方式、动态SQL和支持动态SQL的核心标签.MyBatis动态SQL功能允许开发者根据不同条件灵活构建SQL语句,避免手动拼接字符串,另外,常用查询列和查询SQL还可以借助动态SQL实现复用,提高XML中SQL代码的可维护性和安全性。
关于mybatis list.contains的坑
qq_41277823的博客
08-17 2013
mybatis判断list是否包含某个元素,如果是Integer或者String类型,直接判断就行了。如果是Long类型,则和Java中一样,该元素需要带上L,否则匹配不到。
struct2+spring+mybatis整合
06-29
struct2+spring+mybatis整合
mybatis判断list集合是否包含指定数据
热门推荐
yyoc97的专栏
08-29 2万+
需求 在mybatis脚本中想要判断list中是否含有某个字符串。 准备 之前脚本中用的最多的list函数就是size和遍历了。那么mybatis脚本中是不是又包含函数了。首先我们要清楚list的类型。写个简单的测试用例。 <select id="test" parameterType="java.util.Map" resultType="java.util.Map"> ...
Mybatis 参数List是否包含某个值
WindwirdBird的博客
06-26 4818
前言 mybatis 是国内主流的数据访问层映射框架,但有时过滤条件的判断让人头大,今天就来研究一下传参对象里包含list<T>,且 list 的值与库里无映射 需求样例 List<T> [0,1,2,3] ----->[null,1,2,3] 当含有List含有0,in(0)必定查不出来 ,库里映射null 总之字段需要转化怎么处理? 修改库成本太大! 解决方案 方案一: 利用list.contains() 函数 泛型一致,不然判断不生效 &l
MyBatis-mapper.xml中判断list集合是否包含指定数据
zym_1321的博客
12-19 1万+
表示方法如下 <if test="list.contains()"> //... </if> 示例 <if test="list.contains(0)"> //... </if> 其中 比较整数contains(0) 比较字符串contains("X")只能是双引号,而不能是单引号,因为java做了强制类型比较,而双引号需要用转义字符" ...
Mybatis 返回对象中包含 List集合
geejkse_seff的博客
06-08 2009
遇到这种情况的实体类,需要在mapper.xml文件里使用resultMap标签以及其他子标签.先贴代码:实体类:UserEntity类:private Long id;// 用户id private String username;// 用户名 private String password;// 密码 private List userRoles;// 用户角色集合Role类:public class Role { private Integer id; //角色id private String
Mybatis 拦截器--动态修改SQL
matrixlzp的博客
03-03 3090
表结构里面有两个固定字段,DATA_STATE 和 DELETE_MARKERchar(1) DATA_STATE 数据状态 (1正常 0逻辑删除)char(1) DELETE_MARKER 删除标记 (0: 未删除,null:删除)逻辑删除 DATA_STATE='0' 时,需要强制对对应的表字段(DELETE_MARKER)进行置空,设置DELETE_MARKER=null。
mybatis拦截器实现通用权限字段添加的方法
08-25
if (sql.contains("commonEnShortCode")) { sql = addPremissionParam(sql); resetSql2Invocation(invocation, sql); } ``` 配置MyBatis拦截器 要使用MyBatis拦截器,我们需要在Spring配置文件中添加拦截器的...
MyBatis(3)(动态SQL
qq_44759192的博客
04-07 225
版本:idea2020.1.1 jdk1.8 maven3.6.3 注:本文章摘自Java EE企业级应用开发教程,黑马程序员/编著,仅用于记录学习笔记,分享学习经历。 MyBatis动态SQL元素 元素 说明 <if> 判断语句,用于但条件分支判断 <choose>(<when>、<otherwise>) 相当于java中的switch...case...default语句,用于多条件分支判断 <wher...
Mybatis 查询条件包含List的情况
gaozhonghua12的专栏
05-24 2079
mybatis中进行搜索时,有时候参数中包含了List,比如传入参数: public class FileRequest{ //文件类型 private Integer fileType; //状态 private List<Status> statusList; } public class Status{ //注册...
Mybatis 查询包含包含集合List的方法
csdn_jeffrey_tang的博客
07-07 3248
最近项目里有个小功能,多表联合查询的时候,有个表里的数据是集合返回的,考虑原本的sql不带集合形式,如果遍历再去表里查询,耗时费力,作为追求完美的程序员,是绝对不允许这样的。所以原本的sql语句需要修改,考虑使用collection。 简述下功能: 主要有三个表,团队表,团队成员表,作品表(demo中的其他表与本次collection使用无关)。 这是返回主体的DO public class TeamInfoDO implements Serializable { private static fi
MyBatis contains方法判断集合中是否包含某个元素无效的问题
qq_45576664的博客
01-06 805
比较值需要用 "" 包裹,不能用单引号 '' ,因为java做了强制类型比较
mybatis查询结果集包含list
生命的演绎的博客
06-06 2488
查询的对象中包含list结果集,只用语句实现一次查询,不用多次查询。
MyBatis传参对象包含List集合
lili的点点滴滴
12-22 2921
问题: MyBatis传参对象包含List集合。 dto实体类: public class CustomNetworkInfoDto { private String dnnName; private List<String> userLabels; } dao层: 用@Param标签标示变量名。 Integer queryTotalFlow(@Param("CustomNetworkDto") CustomNetworkInfoDto customNetworkInfoDto
MyBatis动态SQL判断集合包含指定元素
抓娃攻城师
11-13 5512
在使用MyBatis动态SQL查询时,有时候需要判断集合中是否有某个元素,若存在则动态添加指定sql语句,不存在,则不进行任何操作。
mybatis Sql查询 list数据中包含一个对象的list集合
即使再小的舟,也能远航
04-10 389
mybatis Sql查询 list数据中包含一个对象的list集合
Mybatis动态SQL
2301_82119611的博客
09-27 541
Mybatis动态SQL
mybatis ${}拼接sql
最新发布
09-18
<think> 我们正在讨论关于MyBatis中使用${}拼接SQL的问题。根据引用内容,我们知道${}和#{}的主要区别在于:${}是直接拼接字符串,而#{}是使用预编译的占位符。用户要求详细介绍${}的使用方法、注意事项、优缺点等。 首先,根据引用[1]和引用[2]: - 使用${}会直接将参数拼接到SQL语句中,而不是作为预编译参数。这会导致SQL注入的安全风险。 - 然而,在某些场景下,${}又是必须的,比如动态表名、列名等。 根据引用[3]的例子,我们可以看到在动态表名和动态列名的场景下使用了${}。 因此,我们可以从以下几个方面来组织回答: 1. 使用场景:什么时候必须使用${}? 2. 注意事项:使用${}时如何规避风险? 3. 优缺点:对比${}和#{}的优缺点。 4. 安全实践:如何安全地使用${}? 同时,我们需要生成相关问题。 注意:回答中需要引用参考内容的地方,在句末添加引用标识,如[^1]。 </think> ### MyBatis 中 `${}` 拼接 SQL 的详解 `${}` 是 MyBatis 提供的**原生字符串拼接运算符**,它会直接替换为传入的字符串值,而非预编译参数。以下是关键知识点: --- #### 一、核心特性与使用场景 | 特性 | 说明 | 示例代码片段 | |---------------|----------------------------------------------------------------------|----------------------------------------------------------| | **直接拼接** | 将参数值原样嵌入 SQL,**不进行预处理** | `SELECT * FROM ${tableName}` → `SELECT * FROM user` [^3] | | **动态表/列名** | 必须用于动态表名、列名等**无法预编译**的场景 | `<foreach collection="keyList" item="item">${item}</foreach>` [^3] | | **ORDER BY** | 排序字段的动态传递 | `ORDER BY ${sortField} ${sortOrder}` | | **SQL 函数** | 调用数据库函数(如 `CONCAT()`) | `WHERE date = ${"CURDATE()"}` | --- #### 二、严重风险与注意事项 1. **SQL 注入漏洞** `${}` 会将用户输入直接拼接为 SQL 片段,攻击者可构造恶意参数执行非法操作: ```sql -- 原始SQL SELECT * FROM user WHERE id = ${id} -- 攻击者传入:id = "1 OR 1=1" -- 最终执行:SELECT * FROM user WHERE id = 1 OR 1=1 (泄露全表数据) ``` **防御建议**:用户输入参数**绝对禁止**使用 `${}`,必须用 `#{}` [^1][^2]。 2. **数据破坏风险** 攻击者可通过拼接 `DROP`、`DELETE` 等语句破坏数据: ```sql -- 传入:id = "1; DROP TABLE user;" SELECT * FROM user WHERE id = 1; DROP TABLE user; ``` 3. **性能问题** - 每次执行需重新解析完整的 SQL 语句,无法复用预编译模板 - 无参数类型校验,可能触发隐式类型转换导致索引失效 --- #### 三、安全使用实践 ✅ **安全场景** ```xml <!-- 动态表名(固定白名单) --> <select id="selectByTable"> SELECT * FROM ${tableName} WHERE id = #{id} <!-- 条件参数仍用#{} --> </select> ``` ```java // Java层控制表名合法性 public List<User> selectSafe(String tableName) { if (!Arrays.asList("user", "order").contains(tableName)) { throw new IllegalArgumentException("非法表名"); } return mapper.selectByTable(tableName); } ``` ✅ **替代方案** 1. **预定义枚举** ```xml <choose> <when test="sortField == 'NAME'">ORDER BY name</when> <when test="sortField == 'AGE'">ORDER BY age</when> </choose> ``` 2. **SQL 注入过滤器** ```java public String filterSQL(String input) { return input.replaceAll("[';\\-\\*]+", ""); // 过滤危险字符 } ``` --- #### 四、与 `#{}` 的对比 | 特性 | `${}` | `#{}` | |--------------|---------------------------|---------------------------| | **处理方式** | 直接字符串替换 | 预编译占位符 `?` | | **安全性** | 高危 SQL 注入风险 [^1][^2]| 防注入 | | **性能** | 无缓存,重复解析 | 预编译模板可复用 | | **适用场景** | 动态表名/列名 | 用户输入参数 | > 💡 **黄金法则**: > - **用户输入必用 `#{}`** > - **`${}` 仅用于可信内部参数(如预定义表名),且需白名单校验** > - 动态 SQL 优先使用 `<choose>`/`<if>` 而非 `${}` --- #### 五、典型错误案例 ```xml <!-- ❌ 高危:用户输入直接拼接 --> <select id="findUser"> SELECT * FROM user WHERE name = '${name}' <!-- 应改为 #{name} --> </select> <!-- ✅ 安全:动态表名+固定列名 --> <update id="updateData"> UPDATE ${safeTableName} <!-- 需校验表名合法性 --> SET value = #{value} <!-- 值用预编译 --> </update> ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值