Mybatis-plus在xml中传入自定义的SQL语句

最新推荐文章于 2025-04-15 15:44:05 发布
最新推荐文章于 2025-04-15 15:44:05 发布
阅读量2.4k 收藏 1
点赞数 3
文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_41930336/article/details/125338784
版权
本文讲述了在 MyBatis-Plus 框架中遇到的动态 SQL 拼接问题。项目需求要求在获取用户权限后的 SQL 查询中拼接额外的条件,由于涉及到关联查询,不能直接使用 QueryWrapper 的 apply 方法。通过在 XML 查询 SQL 中将 #{}

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

项目场景:

项目需求需要在一个框架上二开,原框架有权限校验会返回对应的权限sql语句。

例如在获取用户当前组织及下级组织后拼接生成的SQL:

AND (
    settlement_company_id IN ( 
        '06eb1b4ce4d24e368319188bb4fc6390', 
        '9ff034739e984f188612c671219ddfed', 
        'afe69288c0b84828bd2abcb1c5eec28a' 
    ) 
)

因为有使用到关联查询,无法直接使用QueryWrapper的apply来拼接语句,只能在xml中拼接。 

问题描述:

查询传入实体:

@Data
public class YygkBankAccountQueryForm {
        /**
         * 数据权限Sql
         */
        @ApiModelProperty(value = "数据权限Sql")
        private String extraSql;
}

Mapper类:

public interface YygkBankAccountMapper extends BaseMapper<YygkBankAccountEntity> {
    /**
     * 分页查询银行账户
     *
     * @param iPage                 分页数据
     * @param yygkBankInfoQueryForm 查询参数
     * @return IPage<YygkBankAccountEntity>
     */
    IPage<YygkBankAccountEntity> queryPage(IPage<YygkBankAccountEntity> iPage, @Param("query") YygkBankAccountQueryForm yygkBankInfoQueryForm);
}

XML的查询SQL语句:

<select id="queryPage" resultMap="BaseMap">
    SELECT
    <include refid="YygkBankAccountSql"/>
    FROM yygk_bank_account ba
    LEFT JOIN yygk_currency_info ci ON ba.currency_id = ci.id
    <where>
        ba.delete_mark != 1
        <if test="query.extraSql != null and query.extraSql != ''">
            AND #{query.extraSql}
        </if>
    </where>
    ORDER BY ba.sort DESC
</select>

query.extraSql为我需要拼接的SQL语句。

执行查询的打印日志:

2022-06-17 18:59:55.981 DEBUG 16768 --- [io-30601-exec-1] c.g.y.m.Y.queryPage_mpCount              : ==>  Preparing: SELECT COUNT(1) FROM yygk_bank_account ba WHERE ba.delete_mark != 1 AND ?
2022-06-17 18:59:56.088 DEBUG 16768 --- [io-30601-exec-1] c.g.y.m.Y.queryPage_mpCount              : ==> Parameters:  (settlement_company_id in( '06eb1b4ce4d24e368319188bb4fc6390','9ff034739e984f188612c671219ddfed','afe69288c0b84828bd2abcb1c5eec28a' ) )(String)
2022-06-17 18:59:56.174 DEBUG 16768 --- [io-30601-exec-1] c.g.y.m.Y.queryPage_mpCount              : <==      Total: 1

可以看到在执行了mybatis-plus的count查询后并没有再执行查询数据

原因分析:

怀疑是要用SQL注入才能拼接SQL语句

解决方案:

参考:MyBatis-Plus 使用 Wrapper 自定义SQL_火柴头9527的博客-优快云博客_mybatis-plus wrapper自定义sql

xml的SQL语句改为使用SQL注入:

<select id="queryPage" resultMap="BaseMap">
    SELECT
    <include refid="YygkBankAccountSql"/>
    FROM yygk_bank_account ba
    LEFT JOIN yygk_currency_info ci ON ba.currency_id = ci.id
    <where>
        ba.delete_mark != 1
        <if test="query.extraSql != null and query.extraSql != ''">
            AND ${query.extraSql}
        </if>
    </where>
    ORDER BY ba.sort DESC
</select>

将#{}替换成${}

2022-06-17 19:21:05.437 DEBUG 9008 --- [io-30601-exec-2] c.g.y.m.Y.queryPage_mpCount              : ==>  Preparing: SELECT COUNT(1) FROM yygk_bank_account ba WHERE ba.delete_mark != 1 AND (settlement_company_id IN ('06eb1b4ce4d24e368319188bb4fc6390', '9ff034739e984f188612c671219ddfed', 'afe69288c0b84828bd2abcb1c5eec28a'))
2022-06-17 19:21:05.523 DEBUG 9008 --- [io-30601-exec-2] c.g.y.m.Y.queryPage_mpCount              : ==> Parameters: 
2022-06-17 19:21:05.598 DEBUG 9008 --- [io-30601-exec-2] c.g.y.m.Y.queryPage_mpCount              : <==      Total: 1
2022-06-17 19:21:05.630 DEBUG 9008 --- [io-30601-exec-2] c.g.y.m.YygkBankAccountMapper.queryPage  : ==>  Preparing: SELECT ci.currency_code as currency_code, ba.id, ba.bank_id, ba.bank_name, ba.bank_short_name, ba.bank_english_name, ba.swift_code, ba.account_name, ba.sort, ba.account_number, ba.receipts_payment_type, ba.internal_account, ba.settlement_type, ba.account_type, ba.deposit_type, ba.settlement_company_id, ba.settlement_company_name, ba.default_mark, ba.currency_id, ba.currency_code, ba.account_identification, ba.opening_bank_identification, ba.billing_account, ba.remark, ba.creator_time, ba.creator_user_id, ba.creator_user, ba.last_modify_time, ba.last_modify_user_id, ba.last_modify_user, ba.enable_mark, ba.delete_time, ba.delete_user_id, ba.delete_mark FROM yygk_bank_account ba LEFT JOIN yygk_currency_info ci ON ba.currency_id = ci.id WHERE ba.delete_mark != 1 AND (settlement_company_id in( '06eb1b4ce4d24e368319188bb4fc6390','9ff034739e984f188612c671219ddfed','afe69288c0b84828bd2abcb1c5eec28a' ) ) ORDER BY ba.sort DESC LIMIT ?
2022-06-17 19:21:05.635 DEBUG 9008 --- [io-30601-exec-2] c.g.y.m.YygkBankAccountMapper.queryPage  : ==> Parameters: 20(Long)
2022-06-17 19:21:05.651 DEBUG 9008 --- [io-30601-exec-2] c.g.y.m.YygkBankAccountMapper.queryPage  : <==      Total: 2

可以看到在执行了mybatis-plus的count查询后,继续执行了查询数据语句。

虽然问题解决,但我还是不理解为何将#{}换成${}就能成功,有知道的大佬麻烦评论区告知一下,感谢!

穹龙
关注
Spring Boot入门(14):使用Mybatis-Plus轻松实现高效自定义SQL操作!
**My Coding Family**
08-20 3万+
如何使用Mybatis-Plus执行自定义SQL,一文教会你。
MyBatis-plus执行自定义SQL
lydms的博客
05-23 8783
还有另外24篇MySQL+MyBatis+MyBatis-plus相关文章。
mybatis直接执行sql语句后续之一
04-18
NULL 博文链接:https://benworld.iteye.com/blog/1841031
Mybatis 执行传入sql语句
Laichilueng的博客
08-07 2万+
在项目开发中,需要根据具体业务逻辑动态拼接sql语句,那么我们可以将动态拼接好的sql语句传入mybatis中,这样便能最大限度将sql掌握在自己手里。
MyBatis-Plus 中执行自定义 SQL 的常见问题及解决方法
最新发布
一碗黄焖鸡三碗米饭的博客
04-15 1026
参数绑定不正确:传入的参数与 SQL 中的占位符没有正确对应。返回结果类型不匹配:SQL 查询的结果类型与方法返回值的类型不一致。SQL 注解使用不当:如@Select@Update等注解中的 SQL 语句错误或格式不当。接下来,我们将详细讲解这些问题及解决方法。MyBatis-Plus 中执行自定义 SQL 时,最常见的错误之一就是返回类型与查询结果不匹配。查询的字段类型和方法的返回类型不一致。返回的结果是集合,但方法的返回类型是单个对象。
Mybatis 实体类类型参数传入sql语句
Kaiser__的博客
03-12 755
Mybatis会根据#{}中传入的数据,加工成getXxx()方法,通过反射在实体类对象中调用这个方法,从而获取到对应的数据。填充到#{}解析后的问号占位符这个位置。因此,我们可以直接通过实体的属性名获取参数值。
Mybatis执行前端传入SQL语句
SuZhan0711
09-16 3031
Mybatis执行前端传入SQL语句,话不多说,直接看代码。 Mapper.xml文件 <select id="executeSql" parameterType="String" resultType="java.util.Map"> ${sqlStr} </select> DAO方法 List<Map<String, Object>> executeSql(@Param(value = "sqlStr") String sqlStr);
Mybatis-传入动态sql
wudonglianga的专栏
08-13 3057
1. mybatis 传入sql 语句执行 实现: package com.wudl.controller; import com.wudl.service.UserService; import org.springframework.beans.factory.annotation.Autowired; import org.springframework.web.bind.annotation.GetMapping; import org.springframework.web.bind.an
MyBatis-plus配置自定义SQL(执行用户传入SQL)
lydms的博客
05-27 1万+
还有另外24篇MySQL+MyBatis+MyBatis-plus相关文章。
结合mybatis-plus实现简单不需要写sql的多表查询
08-25
MyBatis-Plus 是一个基于 MyBatis 的简化版本,它提供了一系列的便捷功能,包括自动 CRUD 操作、条件构造器等,使得开发者无需编写大量的 SQL 语句。在多表查询方面,MyBatis-Plus 提供了简单易用的方法,让开发者...
【SpringBoot】26、SpringBoot中整合MyBatis-Plus实现数据库操作
热门推荐
Asurplus
07-23 21万+
MyBatis 框架相信大家都用过,虽然 MyBatis 可以直接在 xml 中通过 SQL 语句操作数据库,很是灵活。但正其操作都要通过 SQL 语句进行,就必须写大量的 xml 文件,很是麻烦。于是 MyBatis-Plus 应运而生,作为 MyBatis 的增强工具,更是为我们开发效率得到了质的飞跃。 一、简介 1、MyBatis MyBatis 是一款优秀的持久层框架,它支持自定义 SQL、存储过程以及高级映射。MyBatis 免除了几乎所有的 JDBC 代码以及设置参数和获取结果集的工作。MyBa
MyBatisSql语句中动态传参数·动态SQL拼接
weixin_33827965的博客
11-30 2054
在动态传递参数的时候,需要用到OGNL表达式,不懂的童鞋可以下去百度,这里制作一个简要的介绍 在向XML文件传递参数的时候,需要用到sqlSession.selectList("Message.queryMessageList",message); message就是你要传递的参数。一般来说,这个message是一个对象,因为这里只能传递一个参数,而对...
MyBatis通过接口实现SQL语句
2302_78189686的博客
04-12 1068
同下。
MyBatis学习:MyBatis框架下执行SQL语句传递基本类型参数
weixin_46281472的博客
07-31 876
执行SQL语句的时候,有时候条件语句中的条件不确定或者要插入的数据不确定,这样就需要我们传递参数。传递的参数类型又很多种,本篇博文记录的值传递简单类型参数的方法。简单类型参数是指java自带的基本数据类型,包括包装类和非包装类,另外再加上String类型。例如Integer,int,char,Character等。......
Mybatis执行前端作为入参传过来的SQL语句(动态sql
达内---刘天孝作品
04-28 2133
mybatis执行前端传入动态sql
Mybatis 多个简单类型参数传入sql语句
Kaiser__的博客
03-12 576
在有多个简单类型参数传入sql语句中,我们可以在接口方法形参中通过@Param注解为参数进行自定义参数名,这样我们就可以在sql语句中根据参数名直接获取对应数据。Mybatis也可以根据参数的位置进行获取:从左到右为:arg0, arg1, arg2 …也可以从左到右为:param1, param2, param3 …
mybatis直接执行传入sql语句
星期八的博客
07-12 3万+
(一)通过配置文件的方式实现 1、dao.java public List<Map<String, Object>> selectPublicItemList(@Param(value="sqlStr") String sqlStr); 2、mapper.xml <select id="selectPublicItemList" parameterTyp...
【mybitis执行sqlmybatis直接执行传入sql语句
happydecai的博客
12-03 2833
【转自】https://blog.youkuaiyun.com/xingqibaing/article/details/95632363 (一)通过配置文件的方式实现 1、dao.java public List<Map<String, Object>> selectPublicItemList(@Param(value="sqlStr") String sqlStr); 2、mapper.xml <select id="selectPublicItemList.
mybatis 执行传入的任意sql语句
weixin_30347009的博客
06-19 664
dao类 /** * 自定义sql查询 * @param sqlContent * @return */ public List<LinkedHashMap<String, Object>> customQueryItem(String sqlContent); mapper.xml &...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值