Mybatis_SQL映射文件_mybtis的两种取值

最新推荐文章于 2024-04-26 04:00:00 发布
原创 最新推荐文章于 2024-04-26 04:00:00 发布 · 221 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

实际上在mybatis中:两种取值方式:
  • #{属性名}:是参数预编译的方式,参数的位置都是用?替代,参数后来都是预编译设置进去的;安全,不会有sql注入问题
   id=#{id} and empname=#{empName}:
   select * from t_employee where id=? and empname=?
  • ${属性名}:不是参数预编译,而是直接和sql语句进行拼串;不安全;
    例如
	id=${id} and empname=#{empName}:
    select * from t_employee where id=1 and empname=?
	
    //若在id处传入一个'1 or 1=1 or';
    select * from t_employee where id=  1 or 1=1 or  and empname=?
    这样子的话1 = 1 恒成立,就可以遍历表中所有数据

当然,${}并不是就没有使用场景了,例如:在处理日志表的时候,数据过大可能会采取分表的形式:log_2017_12、log_2018_1;
因此在查询某张表的时候,由于表名参数是不支持预编译的,即不能使用#{表名的key},在这个时候就需要使用${}

    public void test01() throws IOException {

        SqlSession sqlSession = null;
        try {
            sqlSession = sqlSessionFactory.openSession();
            EmployeeDao mapper = sqlSession.getMapper(EmployeeDao.class);
            HashMap<String, Object> map = new HashMap<>();
            map.put("id", "1");
            map.put("empName", "admin");
            map.put("tableName", "t_employee");
            Employee empByIdAndEmpName2 = mapper.getEmpByIdAndEmpName2(map);
            System.out.println("eempByIdAndEmpName2-->"+empByIdAndEmpName2);
        } finally {
            sqlSession.close();
        }
    }



<mapper namespace="com.czl.dao.EmployeeDao">

    <select id="getEmpByIdAndEmpName2" resultType="com.czl.bean.Employee">
        select * from ${tableName} where id=#{id} and empname=#{empName}
    </select>
</mapper>

一般都是使用#{};安全;在不支持参数预编译的位置要进行取值就使用${};

MyBatis_mapper映射文件深入
9.冄2.7.號的博客
05-07 135
MyBatis mapper映射文件深入 动态sql语句 1、动态sql语句概述 Mybatis映射文件中,前面我们的 SQL 都是比较简单的。有些时候业务逻辑复杂时,我们的 SQL 是动态变化的,此时在前面的学习中我们的 SQL 就不能满足要求了。 参考官网文档,描述如下: 2、动态sql 之 <if> 我们根据实体类的不同取值,使用不同的SQL语句来进行查询,比如在 id 如果不为空时可以根据id查询,如果username不为空时还要加入用户名作为条件,这种情况在我们的多条件组合查询中
代码审计:MyBatis框架SQL注入查询
墨痕诉清风的博客
08-29 820
MyBatis 是一款优秀的持久层框架,它支持定制化 SQL、存储过程以及高级映射。MyBatis 避免了几乎所有的 JDBC 代码和手动设置参数以及获取结果集。MyBatis 可以使用简单的XML或注解来配置和映射原生信息,将接口和 Java 的 POJOs(Plain Old Java Objects,普通的 Java对象)映射成数据库中的记录。MyBatis是将数据库字段和java对象关联到了一起,开发者无需在关注数据库操作,直接操作java对象就可以完成数据库的增删改查等操作。但是在。
MyBatis | SQL映射文件详细解释
Willian的博客屋
07-31 525
sql文件为例说明: &amp;amp;lt;?xml version=&amp;quot;1.0&amp;quot; encoding=&amp;quot;UTF-8&amp;quot;?&amp;amp;gt; &amp;amp;lt;!-- namespace指定该sql映射文件对应的接口文件,全限定类名 --&amp;amp;gt; &amp;amp;lt;mapper namespace=&amp;
Mybtis级联映射(一对一,一对多)例子
09-10
Mybatis的级联一对一,一对多,简单小例子。欢迎下载,保证可以运行出来。
MyBatisSQL语句两种取值方式
minolk的博客
09-14 2344
第一种就是用$符号进行取值 执行SQL:select * from user where name = ${Name} 参数:Name传入值为:zhangsan 解析后执行的SQL:Select * from user where name = zhangsan 这种方式容易有SQL注入,就相当于是你直接用JDBC的时候去拼接一个字符串出来。 第二种就是用#符号进行取值 执行SQL:sel...
MyBatisPlus实现逻辑删除
Jiao的博客
06-13 636
数据库中添加字段is_delete 实例类添加is_delete字段,并给这个字段加上注解@TableLogic注解//该注解可以用于逻辑删除数据,1代表删除,0代表不删除,默认是0 since 3.3.0,配置后可以不配置该注解 在application.properties中加入配置 //此为默认值,如果你的默认值和mp默认的一样,该配置可无 mybatis-plus.global-config.db-config.logic-delete-value=1 mybatis-plus.global-c.
Java类中的任何布尔类型的变量,都不要加 is 前缀
gorylee的博客
06-26 2340
POJO 类中的任何布尔类型的变量,都不要加 is 前缀,否则部分框架解析会引起序列 化错误。MySQL 规约中的建表约定第一条,表达是与否的变量采用 is_xxx 的命名方式,所以,需要在设置从 is_xxx 到 xxx 的映射关系。反例:定义为基本数据类型 Boolean isDeleted 的属性,它的方法也是 isDeleted(),框架在反向解析的时候,“误以为”对应的属性名称是 deleted,导致属性获取不到,进而抛出异常。
精选资源
springboot+mybatis+sqlserver
04-12
【标题】"springboot+mybatis+sqlserver"是一个基于Spring Boot、MyBatis和Microsoft SQL Server构建的基础开发框架,适用于快速开发企业级应用。这个框架整合了三个关键组件,旨在简化开发流程,提高开发效率。 ...
MyBatis-全局配置文件及SQL映射文件
weixin_43791725的博客
07-07 1081
文章目录1.全局配置文件1.1.properties引入外部配置文件1.2.settings运行时行为设置1.3.typeAliases别名1.4. environments运行环境1.5.mappers_sql映射注册2.映射文件参数处理2.1.单个参数2.2.多个参数2.2.1.命名参数2.2.2.POJO2.2.3.Map2.2.4.TO2.3.单个javaBean2.4.Map2.5.多个...
MyBatis入门学习二(配置文件、mapper文件、动态SQL
棉花糖老丫
04-26 2242
MyBatis 的强大特性之一便是它的动态 SQL 能力。当有多条件查询或操作时SQL语句的拼接是比较麻烦的事情并且拼接的时候要确保不能忘了必要的空格,逗号或者关键字。利用动态 SQL 这一特性可以彻底摆脱这种痛苦。通常使用动态 SQL 不可能是独立的一部分,MyBatis 当然使用一种强大的动态 SQL 语言来改进这种情形,这种语言可以被用在任意映射的 SQL 语句中。动态 SQL 元素和使用 JSTL 或其他相似的基于 XML 的文本处理器相似。MyBatis 采用功能强大的基于 OGNL 的表达式。
ES7基础篇-04-索引映射操作(_mappering)
Alan0517
04-01 3132
简介。
【SpringMVC】@RequestMappering注解详解
ASW262623的博客
05-30 2937
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录 前言 一、pandas是什么? 二、使用步骤 1.引入库 2.读入数据 总结 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本篇文章正文内容,下面案例可供参考 一、pandas是什么? 示例:pandas 是基于NumPy 的一种工具,该工具是为了解决.
SpringMVC或MyBatis 无法对对象中的 is 开头字段进行映射
jay1727204629的博客
04-17 4970
请留意字段与 get 与 set 方法名称是否一致。 无法映射类 public Class A1{ private boolean isUse; /*自动生成 setget 方法*/ public boolean getUse(){} public boolean setUse(){} } 修改 get set 方法可以进行映射 public Class A1{ privat...
SpringMVC中以实体类属性is开头的字段返回JSON问题
羸鹄的博客
05-17 3553
在开发中遇到这个问题, 根据接口文档定义的实体类字段, isClassId, 用json形式返回, 发现只有classId, 查找资料留用: 参考资料: https://blog.youkuaiyun.com/u013534063/article/details/51020579 具体解决方法如下: 1.在get方法(如果是boolean类型的字段 就在boolean)上面加入@JsonProper...
SpringBoot实现多数据源配置
热门推荐
一恍过去
06-13 3万+
SpringBoot实现多数据源配置
教你用最简洁的代码实现 MyBatis 通用 Mapper
GitChat
07-17 873
MyBatis 的灵活性和高性能是区别于 Hibernate 的重要特点,可以自由书写SQL、动态生成表名、灵活处理关联查询,可以满足各类需求和性能优化的需要。 MyBatisSQL 语句需要手动书写,在灵活的同时,对于一些通用的增删改查无疑增加了我们重复性的编码工作,那么怎么在保证灵活性和高性能的基础上让 MyBatis 自动处理那些基础的 SQL 呢 ?本场 Chat 告诉你。 本场 C...
Mybatis 使用mybatis_Generator 生成PO类 、mapper.java 类、Mappering.xml映射文件
zcl1199的博客
04-18 3837
mybaits是一个半ORM框架,所以主要工作是书写Mapping的映射文件,但由于手写映射文件容易出错,因而采用能自动生成模型类(po类)、Dao接口(mapper.java接口)、Mapper.xml映射文件 一、建立表结构: CREATE TABLE `student` (   `id` int(11) NOT NULL AUTO_INCREMENT,   `name` varcha
MybatisSQL语句两种取值方式#{}和${}
xiaodangshan的博客
02-19 1302
第一种:#{} 将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号,如 INSERT INTO tb_category_brand (category_id, brand_id) VALUES (#{cid},#{bid} 传入cid=8,bid=7,解析后:INSERT INTO tb_category_brand (category_id, brand_id) VALUES ...
mybatis的_databaseId取值
最新发布
06-17
`databaseId` 的配置主要包括以下两种方式: ##### (1) 使用默认的 `VendorDatabaseIdProvider` 在 MyBatis 的全局配置文件中,可以通过 `<databaseIdProvider>` 标签启用默认的 `VendorDatabaseIdProvider`。例如...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值