mybatis传入表名为参数/拼接SQL

最新推荐文章于 2025-07-01 10:47:54 发布
原创 最新推荐文章于 2025-07-01 10:47:54 发布 · 3.9k 阅读 · 9 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#mybatis表名为参数 #拼接sql #sql注入

Context

现在有8个表,都有相同的两列。
需求就是选择 表&id,修改对应行的列值
8个表诶,两个操作就要写16个sql,还要判断枚举值选择不同的Dao,返回不同的实体…
啊,真的是太麻烦了。。要写这么多重复的代码,那一定会有更好的方法

show time~

  • select
    查操作要简单很多,参数是表名和id
    我们可以用${}传入表名,statementType="STATEMENT"在预编译前把SQL拼接好
<select id="selectTaskTable" resultMap="rasSqlAssistMap" statementType="STATEMENT">
       select id, columnName1, columnName2 from ${tableName} where id = ${id}
   </select>

踩坑1一开始我写的是"where id = #{id}",但编译出来是"where id = "
如果设置了非预编译,就不能再使用#{}了,都要统一用${}
因为#{}的变量替换是在预编译阶段,在SQL解析阶段是显示不出来的

  • update
    更新操作就麻烦很多了,因为更新的列不确定(两个列不一定都更新)
    踩坑2
    我本来想传入Map然后用判空,还是上面的坑,这些动态sql在解析阶段是解析不出来的,编译完set中间一片空白。。
<update id="updateByTableName" parameterType="String" statementType="STATEMENT">
		update ${tableName}
        <set>
            <if test="columnName1 != null and columnName1 != ''">
                columnName1 = ${property1},
            </if>
            <if test="columnName2 != null and columnName2 != ''">
                columnName2 = ${property2},
            </if>
        </set>
        where id = ${id}
        -->
    </update>

但是不要放弃,懒还是要偷的
那我们在代码里拼接sql吧

		StringBuilder sql = new StringBuilder();
        sql.append("update "+ tableName +" ");
        if (columnName1 != null && columnName2 != null){
            sql.append("set columnName1 = \"");
            sql.append(columnValue1);
            sql.append("\"");
            sql.append(", columnName2 = \"");
            sql.append(columnValue2);
            sql.append("\"");
            sql.append(" where id = \"");
            sql.append(id);
            sql.append("\"");
         }

mapper:

	<update id="updateByTableName" parameterType="String">
        ${value}
    </update>

把sql.toString()传进去就好啦~
拼接完是这样的:
"update tableName set columnName1 = “19”, columnName2 = “1” where id = “133"”
完美解决问题~

#与$的区别

比如

select id, columnName1, columnName2 from tableName where id = #{id}
//编译完
select id, columnName1, columnName2 from tableName where id =
  1. #{}
    被解析为一个参数占位符?
    预编译阶段向占位符中注入值
    将传入的参数当成字符串,会给参数加上"",预编译阶段自动进行Java类型和jdbc类型转换
select id, columnName1, columnName2 from tableName where id = ${id}
//在预编译前完成
select id, columnName1, columnName2 from tableName where id = 133
  1. ${}
    会在预编译前拼接好sql
    不会加上"",所以有sql注入的危险,使用要慎重

不听话的实习僧日常:
懒是促进发展的源泉

Mybatis 将table作为参数传入
默默不代表沉默
03-10 7817
使用 $ 符 如在mapper.xml里面的使用: 在mapper层就把这个当做普通的参数传入即可: 同理,其实如果真的使用了$ ,在不考虑安全的范畴里面,也可以把一些手动拼接sql语句作为参数传入。 ...
项目实训记录(十三)——mybatis中将数据库当作参数
pinkray_c的博客
06-07 2339
mybatis中#和$的区别
mybatis动态调用和字段
weixin_34175509的博客
10-12 2782
     以后慢慢启用个人博客:http://www.yuanrengu.com/index.php/mybatis1021.html   一直在使用Mybatis这个ORM框架,都是使用mybatis里的一些常用功能。今天在项目开发中有个业务是需要限制各个用户对某些里的字段查询以及某些字段是否显示,如某张的某些字段不让用户查询到。这种情况下,就需要构建sql来动态传入、字段了。现在对解...
MybatisPlus动态拼接sql和动态配置
最新发布
qq_58964360的博客
07-01 444
参数添加 @Param(“alias”) String alias, @Param(“operator”) LogicOperatorEnum operator,动态配置和逻辑运算符。添加数据权限过滤器,根据方法参数值动态设置,以及动态设置拼接的逻辑运算符。并且如果方法参数没传值的话,是可以用注解里的固定属性的,实现灵活配置。最近有个需求,需要支持动态配置和动态逻辑拼接,我是使用mybatis-plus+SpringSecurity完成的。首先自定义注解@DataColumn。
mybatis 做为参数
qq_42058242的博客
02-02 933
mybatis传递参数有两种方式 #{param} 这种传递的是带双引号的变量 ${param} 这种传滴的是字面量 比如 tab = tb_user select * from #{tab} 就会被解释成 select * from 'tb_user' 这样肯定是不对的,sql语句中的不应该加双引号 所以应该写成 select * from ${tab} ${}会直接翻译不加引号,就会解释成正确的sql语句 select * from tb_user ...
mybatis中将数据库或列当作参数
风起尘落的博客
06-12 3016
1.操作方式: 在mybatis xml中使用 ${列/} 而不是 #{列/} 说明:${} 只是简单的字符串替换,#{}则是预编译。 2.产生问题: 问题:${}会产生sql注入问题。 解决方式: 1.如果只是select 语句 ,可以在service方法中添加@Transactional(readOnly = true) (只读事务),也可以在service方法中限制列的范围。 2.如果是in...
Mybatis 参数拼接 #{} 和 ${}
ybbgrain的历程
12-29 1124
概述 在服务的使用"%"+target+"%"这种方式直接拼接参数上面会有SQL注入的风险,但是在sql层面取拼接参数就不会。 mybatis拼接参数使用方式 like concat(concat("%",#{districtName}),"%")
mybatis 动态sql参数传递
12-14
在实际开发过程中,我们往往需要编写复杂的SQL语句,拼接稍有不注意就会导致错误,Mybatis给开发者提供了动态SQL,大大降低了拼接SQL导致的错误。 动态标签 if标签 if标签通常用那个胡where语句,update语句,insert...
Mybatis动态调用和字段的解决方法
09-01
注意,由于使用了`${}`,你需要确保传入和字段是安全的,并且在传入字段时,如果它是字符串,记得在传入参数前加上单引号,以避免SQL注入问题,例如`String columnName = "'" + columnName + "'"`。...
Mybatis防止sql注入的实例
08-30
我们可以看到,输入参数sql拼接的部分,传入参数后,打印出执行的sql语句,会看到sql是这样的:select id,title,author,content from blog where id = ?不管输入什么参数,打印出的sql都是这样的。这是因为...
Mybatis动态拼接sql
a50095949的博客
09-20 419
其中doubleList为List<List<>>类型。可以使用index来灵活拼接
mybatis 动态传入作为参数示例
lakelise的专栏
07-10 5581
物理称 作为参数 传入 mybatis xml 文件,动态加载sql
mybatis作为参数必须用$
weixin_43492798的博客
08-27 1209
用#会变成’xx_xxx’
mybatis中编写sql语句作为参数注意
Carrot_ly的博客
06-14 713
其中#{tablename}被引入sql语句后是一个带引号的字符串,最终执行的sql语句将会是SELECT COUNT(1) FROM 'xxxxx';被双引号包裹,会报错;
Mybatis拼接参数和字符串
JonyM的博客
08-25 2971
concat(#{param},’,’)
Mybatis如何拼接动态 以及#{}和${}的具体使用情况
热门推荐
小先生编程
05-28 1万+
mapper.java 文件 public Gpsinfo selectGpsByPlateNo(@Param(“tableName”)String tableName,@Param(“plateNo”)String plateNo); #{}与${}的区别可以简单总结如下: 1. #{}将传入参数当成一个字符串,会给传入参数加一个双引号 2. KaTeX parse error: Ex...
mybatis
ne_123456的博客
06-05 512
什么是框架:框架就是别人搭建好的某些功能,你只需要引用该框架并加入自己的业务代码。 好处: 提高我们的开发效率。 MyBatis本是apache的一个开源项目iBatis,2010年这个项目由apache software foundation迁移到了google code,并且改名为MyBatis。2013年11月迁移到Github。iBATIS一词来源于“internet”和“abatis”的组合,是一个基于Java的持久层框架。iBATIS提供的持久层框架包括SQL Maps
Mybatis
qq_55674489的博客
02-07 255
原是Apache的一个开源项目iBatis, 2010年6月这个项目由Apache Software Foundation 迁移到了 Google Code,随着开发团队转投Google Code 旗下, iBatis3.x正式更名为MyBatisMyBatis 是一款优秀的持久层框架。
Java 中,mybatis当做参数传递时,怎么避免SQL注入的风险
03-26
1. **${}的风险**:直接使用`${tableName}`会导致SQL注入,因为MyBatis会原样拼接字符串,如`SELECT * FROM ${table}`若`table`值为`user; DROP TABLE user`会引发灾难[^4]。 2. **#{}的局限**:预编译占位符`#{}`...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值