注解实现动态SQL

于 2020-04-10 17:56:40 发布
阅读量2.8k 收藏 2
点赞数
分类专栏: SSM
原文链接:https://blog.youkuaiyun.com/Yang_Hui_Liang/article/details/88236260
版权
本文详细介绍MyBatis中动态SQL的实现方式,包括@SelectProvider注解的使用,通过StudentProvider类动态拼接SQL,以及如何防止SQL注入。探讨了不同场景下动态SQL的优劣,如短查询语句的清晰性和长查询语句的结构化。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

在方法中构建sql

@SelectProvider(type=xxxx.class,method=”xxxx”)

属性详解:

type 属性用于指定获取sql语句的指定类
method 属性用于指定类中要执行获取sql语句的方法

下面就给个例子吧

package cn.et.demo04.annotation.mapper;
 
import cn.et.demo04.annotation.model.Student;
import org.apache.ibatis.annotations.Param;
import org.apache.ibatis.annotations.Result;
import org.apache.ibatis.annotations.Results;
import org.apache.ibatis.annotations.SelectProvider;
 
import java.util.List;
 
public interface StudentMapper {
 
    /**
     *  用字符串的方式拼接sql返回
     * @return
     */
    @Results({
        @Result(column = "sid",property = "id"),
        @Result(column = "sname",property = "name"),
        @Result(column = "sage",property = "age"),
        @Result(column = "ssex",property = "sex")
    })
    @SelectProvider(type =StudentProvider.class ,method = "getStudent")
    List<Student> getStudent(@Param("name") String name, @Param("age") String age, @Param("sex") String sex);
 
}

这种方式拼接sql只能用键值对的方式来接收数据,这是mybatis内部机制造成的,其参数需要是key/value结构,当遇到这里不是key/value结构时,mybatis会自己把它转换成key/value结构,key就是他的名字"name",value就是他的值,要正确传参需要使用key/value结构的map,但是会有SQL注入的风险 原文
在这里插入图片描述

如下

package cn.et.demo04.annotation.mapper;
 
import org.apache.ibatis.jdbc.SQL;
 
import java.util.Map;
 
public class StudentProvider {
 
    /**
     *  用字符串的方式拼接sql返回
     * @param map
     * @return
     */
    public String getStudent(Map map){
        String sql ="select * from student where 1=1";
        if (map.get("name") != null && !map.get("name").equals("")){
            String name ="'%"+map.get("name")+"%'";
            sql += " and sname like " +name;
        }
        if (map.get("age") != null && !map.get("age").equals("")){
            String age ="'%"+map.get("age")+"%'";
            sql += " and sage like " +age;
        }
        if (map.get("sex") != null && !map.get("sex").equals("")){
            String sex ="'%"+map.get("sex")+"%'";
            sql += " and ssex like " +sex;
        }
        return sql;
    }
}

这比<script>更加清晰,适用于查询语句不是很长、条件不多的场景,SQL很直观。但是在写很长的SQL时,这样拼接SQL同样会很痛苦

防止sql注入:

package com.crm.dao;


import org.apache.ibatis.annotations.Param;
import org.apache.ibatis.jdbc.SQL;

import java.util.Map;

public class StudentProvider {

    /**
     *  用字符串的方式拼接sql返回
     * @return
     */
    public String getStudent(@Param("name") String name, @Param("age") int age, @Param("sex") String sex){
//        public String getStudent(Map map){

    String sql ="select * from test where 1=1";
//      
        StringBuilder sb = new StringBuilder(sql);


        if (name!=null&&!"".equals(name)&&!"null".equals(name)){
            sb.append(" and name like concat('%',#{name},'%') ");
        }
        sql = sb.toString();
        return sql;
    }
}

在这里插入图片描述

结构化SQL

package cn.et.demo04.annotation.mapper;
 
import cn.et.demo04.annotation.model.Student;
import org.apache.ibatis.annotations.Param;
import org.apache.ibatis.annotations.Result;
import org.apache.ibatis.annotations.Results;
import org.apache.ibatis.annotations.SelectProvider;
 
import java.util.List;
 
public interface StudentMapper {
    /**
     *  通过SQL这个类文成动态拼接
     * @return
     */
    @Results({
            @Result(column = "sid",property = "id"),
            @Result(column = "sname",property = "name"),
            @Result(column = "sage",property = "age"),
            @Result(column = "ssex",property = "sex")
    })
    @SelectProvider(type =StudentProvider.class ,method = "sqlStudent")
    List<Student> sqlStudent(@Param("name") String name, @Param("age") String age, @Param("sex") String sex);
 
}

package cn.et.demo04.annotation.mapper;
 
import org.apache.ibatis.jdbc.SQL;
 
import java.util.Map;
 
public class StudentProvider {
    /**
     * 方案二 通过SQL这个类文成动态拼接
     * @param map
     * @return
     */
    public String sqlStudent(Map map){
        SQL sql =new SQL();
        sql.SELECT("*").FROM("student");
        if (map.get("name") != null && !map.get("name").equals("")){
            String name ="'%"+map.get("name")+"%'";
            sql.WHERE(" sname like "+name);
        }
        if (map.get("age") != null && !map.get("age").equals("")){
            String age ="'"+map.get("age")+"'";
            sql.WHERE(" sage= "+age);
        }
        if (map.get("sex") != null && !map.get("sex").equals("")){
            String sex ="'"+map.get("sex")+"'";
            sql.WHERE(" ssex="+sex);
        }
        return sql.toString();
    }
}

这是把前面的内部类改造一下

SELECT:表示要查询的字段,如果一行写不完,可以在第二行再写一个SELECT,这两个SELECT会智能的进行合并而不会重复

FROM和WHERE:跟SELECT一样,可以写多个参数,也可以在多行重复使用,最终会智能合并而不会报错

这样语句适用于写很长的SQL时,能够保证SQL结构清楚。便于维护,可读性高。但是这种自动生成的SQL和HIBERNATE一样,在实现一些复杂语句的SQL时会束手无策。所以需要根据现实场景,来考虑使用哪一种动态SQL

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值