xml文件中sql的注意事项

最新推荐文章于 2025-05-09 16:28:07 发布
原创 最新推荐文章于 2025-05-09 16:28:07 发布
· 5.2k 阅读 · 24 ·
版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#mybatis #xml

我们在使用了mybatis框架后,向数据库发送SQL语句就需要编写在dao接口同名的xml文件中。在其中我们会使用到<select>,<insert>,<update>等标签来装载SQL语句,例如查询语句如下:

<!-- 查询用户by ID -->
	<select id="findUserById" parameterType="Integer" resultType="userPo">
		SELECT * FROM USER WHERE userid = #{UserID}
	</select>

属性id的值必须与dao接口中对应的方法一致,parameterType属性声明了SQL的参数类型,resultType属性声明SQL的返回值类型,它们的值可以是String、Integer这样的包装类,也可以是ProductPo这种bean对象。与传统SQL语句参数不同,在mybatis中使用#{参数名}来传递参数。如果参数是字符串类型的数据,需要使用引号包裹,可以直接使用+来进行拼接,如:

<!-- 查询用户by number -->
	<select id="findUserByNumber" parameterType="String" resultType="userPo">
		SELECT * FROM USER WHERE usernumber like "'" + #{Number} + "'"
	</select>

但是一般都不推荐这种写法,因为这样很容易造成SQL注入,使代码安全性下降,推荐使用concat函数,如:

<!-- 查询用户by number -->
	<select id="findUserByNumber" parameterType="String" resultType="userPo">
		SELECT * FROM USER WHERE usernumber like concat("'",#{Number},"'")
	</select>

有时候查询语句的条件可能不止一个,那么parameterType属性就可以不写,但是在dao接口中的方法需要添加@Param注解,来指明参数。

public List<ExamplePo> findAllExample(@Param("startIndex") int startIndex,
			@Param("limit") int limit,@Param("exampletitle") String exampletitle);

需要注意的是,@Param中的值必须与#{}中的一致,否则程序会报错。这样肯定会觉得特别的繁琐,如果参数过多,可以将其封装为一个bean对象,已bean的形式来接收和传递参数

//Condition 所有查询条件参数的POJO对象
	public List<BusinessPo> findInfo(Condition condition);

insert、update和delete标签没有resultType属性,它默认返回数据库数据变更数,为Integer类型。

	<!-- 新增产品 -->
	<insert id="addProduct" parameterType="productPo">
		INSERT INTO product(productname,productdescribe,cover) 
			VALUES(#{productname},#{productdescribe},#{cover})
	</insert>

如果有一段SQL语句在多个方法中都会使用到,那么我们可以使用<sql>标签将其包裹起来,如:

<!-- 查询套餐信息SQL -->
	<sql id="findSetMeal">
		select * from B_Setmeal inner join B_SetmealType 
			on B_Setmeal.SetmealTypeID = B_SetmealType.SetmealTypeID
	</sql>

之后在其他方法中,使用<include>标签,通过属性id的值对其进行引用。

<!-- 查询套餐信息ByID -->
	<select id="findById" resultType="SetMealPo">
			<include refid="findSetMeal"/>
		<where>
			 B_Setmeal.SetmealID = #{id}
		</where>
	</select>
	
	<!-- 查询套餐列表by类型ID -->
	<select id="findAll" resultType="SetMealPo">
		<include refid="findSetMeal"/>
		<where>
			 B_Setmeal.SetmealTypeID = #{id}
		</where>
	</select>

有时候我们需要在SQL语句中加入【<】或者【>】,这个时候由于这两个符号会被识别为标签括号,造成报错。

<!-- 查询表格数据 -->
	<select id="findInfo" resultType="BusinessPo" parameterType="Condition">
		select * from  (<include refid="innerjoin"/>) as e
			<where>
				<if test="StartDate !=null and StartDate !=''">
					<!-- 时间比较时用到了<=  虽然现在没有提示出错  但是SQL运行时会无法识别 -->
					and SaveDate <= #{StartDate}
				</if>
					order by e.SaveDate desc
			</where>
	</select>

在需要使用到某些特殊符号的时候,可以使用其对应的编码来表示,如:&lt;(<)&gt;(>)

		<if test="StartDate !=null and StartDate !=''">
		  	and SaveDate &lt;= #{StartDate}
		  </if>
		  <if test="EndDate !=null and EndDate !=''">
		  	and SaveDate &gt;= #{EndDate}
		  </if>
mybatis xml注释sql注意事项
阿杰同学的博客
04-22 2012
说明:在mybatissql里不是不能写注释,而是注释不能有#{},mybatis仍旧会把#{}算成一个带注入的参数 如代码段2所示,mysql数据库更换为oracle数据库时,#{date}需要明确jdbcType,而该代码段中仅将适用于mysqlsql注释,依旧会报同样的错,最好是将注释的sql删除。 注意事项 1、where语句等用到大于小于等符号时候,需要使用 <![CDATA[ > ]]>或者 <![CDATA[ < ]]>进行识别。 2、如果sql文中有
Spark读写XML文件注意事项
大数据星球-浪尖
04-12 3787
最近有粉丝问浪尖spark 如何读写xml格式的文件,尤其是嵌套型的,spark本身是不支持xml格式文件读取的,但是databricks开源了一个jar,支持xml文件的读写,浪尖这...
XML转换成SQL语句
11-30
XML文件转换成SQL语句,导入数据库。
SQLXml字段的操作
weixin_33978016的博客
11-27 885
  T-Sql操作Xml数据 一、前言 SQL Server 2005 引入了一种称为 XML 的本机数据类型。用户可以创建这样的表,它在关系列之外还有一个或多个 XML 类型的列;此外,还允许带有变量和参数。为了更好地支持 XML 模型特征(例如文档顺序和递归结构),XML 值以内部格式存储为大型二进制对象 (BLOB)。 用户将一个XML数据存入数据库的时候,可以使用这个XML的字符串...
关于IDEA使用xml实现动态sql的问题
最新发布
Java团长的博客
05-09 64
在使用动态SQL时,有些开发者选择将SQL语句直接写在方法上,使用依赖注解的方法来实现,而另一些开发者则选择使用XML文件来编写动态SQL。代码一致性:使用依赖注解的方式,可以让SQL和业务逻辑保持在同一个地方,增强代码的可读性和一致性。代码清晰:将SQL与Java代码分离,可以使代码更清晰,业务逻辑和SQL语句各自独立,便于维护。调试困难:由于SQL语句不直接在Java代码中,调试时需要额外的步骤查看生成的SQL语句。项目规模较大,SQL语句复杂:建议使用XML文件,便于SQL的灵活拼接和独立维护。
XMLSQL处理
dear_Alice_moon的专栏
04-23 506
本文转载 原文地址: xmlSQL处理小于号与大于号 mybatisxml文件中处理大于号小于号的方法 xml中处理大于号小于号的方法 ...
xml中的SQL注入
weixin_30846599的博客
09-01 576
大家通常知道xml中大部分会导致外部实体注入,但是,xml也会出现SQL注入; 在xml中正常的sql语句写法有两种: 第一: <select id="selectById" resultType="bean.user" > select * from users where id = #id#</select> 第二: <select id="selec...
XML中的SQL注入
杳若的博客
08-18 2057
XML中的SQL注入
SQL2008详解:直接将XML存储到SQL中的操作与注意事项
4. **注意事项**: - 在处理XML数据时,需要考虑到这些存储和处理特性,以避免潜在的问题。 - 对于需要保留完整XML结构和声明的应用场景,可能需要在应用处理XML数据,而不是完全依赖SQL Server的内置功能。 ...
mapper.xmlsql知识总结
12-14
总结起来,本文涵盖了SQL中的日期计算,包括计算年龄和判断字段是否为空的技巧,以及在mapper.xml文件中处理日期类型的注意事项。这些知识对于开发涉及数据库操作的应用程序至关重要,尤其是在使用MyBatis等持久...
SQL数据库表转换成XML文件输出(脚本)
07-06
### 将SQL数据库表转换成XML文件输出(脚本) #### 概述 在实际工作中,经常需要将数据库中的表数据导出为其他格式以便于传输或与其他系统进行交互。其中,XML作为一种广泛使用的数据交换格式,具备良好的跨平台性...
MyBatis Sql语句中的转义字符
热门推荐
lidongtang的专栏
02-08 8万+
1、在xmlsql语句中,不能直接用大于号、小于号要用转义字符 如果用小于号会报错误如下: org.apache.ibatis.builder.BuilderException: Error creating document instance.  Cause: org.xml.sax.SAXParseException: The content of elements must consi
XML in SQL
weixin_30481087的博客
07-12 232
SQL server中设置某列的值的类型为xml,以下为对该列中的值进行添加/删除XML节点, 修改节点间的字符等 1. 创建数据库表TestProduct, 使列PROD_REPORT_X的类型为xml create table TestProduct( PROD_ID_N integer not null, PROD_REPORT_X XML ) go ...
三、HQL语句--where(限制)
zqzwzd的博客
08-17 2238
where子句:逻辑表达式。用来设置查询的条件来限制返回的查询结果。 比较运算:将持久化类的属性与给定的查询条件来进行比较。  比较运算符: =、&lt;&gt;、&lt;、&gt;、&gt;=、&lt;= null值判断— is [not] null 或者使用相等(=)、不等(&lt;&gt;)进行判断。x=null -&gt; x is null; x&lt;&gt;null -&gt;...
having子句与where子句
m0_49698384的博客
10-11 4382
1.相同点 都是对记录进行筛选 2.不同点 2.1 where 不能放在group by后面 2.2 having 是跟group by连在一起用的,放在group by 后面,此时的作用相当于where 2.3 where 后面的条件中不能有聚集函数,比如SUM(),AVG()等,而HAVING可以。 一、where子句 where子句:where子句仅仅用于从from子句中返回的值,from子句返回的每一行数据都会用where子句中的条件进行判断筛选,where子句中允许使用比较运算符和逻辑运算
xml--sql语句
weixin_46883630的博客
12-14 1565
foreach>标签中 collection :变量所在数组,index 位置,item 元素,open 在sql语句中变量开始位置符号,separator 在sql语句中变量间分隔的符号, close 在sql语句中变量结束位置符号。2.#{}表示一个占位符(将参数内容加引号,以字符串形式拼接到SQL中),可以防止SQL注入;${}将内容直接拼接在SQL中,不能防止SQL注入。在SQL中需要用到 in 时,在xml中可以用foreach循环来组合需要满足的 in 的数组。例子一:循环数组List。
6.4.7:HQL查询的where子句
confirmAname的专栏
07-14 780
where子句用于筛选选中的结果,缩小选择的范围。如果没有为持久化实例命名别名,则可以直接使用属性名来引用属性: from Person where name like 'tom%'上面的HQL语句与下面的语句效果相同: from Person as p where p.name like 'tom%'复合属性表达式加强了where子句的功能,例如: from Cat cat where c
XML中书写sql(动态SQL)
Armymans的博客
10-24 1万+
1.#{}与${} #{}表示一个占位符,使用占位符可以防止sql注入, $ {}通过${}可以将parameterType传入的内容拼接在sql中,不能防止sql注入,但是有时方便 例: SELECT * FROM USER WHERE username LIKE '%${name}%' 再比如order by排序,如果将列名通过参数传入sql,根据传的列名进行排序,应该写为: ORDER B...
mapper.xml配置文件中<sql标签和<include>标签的使用
qq_41027095的博客
05-15 2421
在开发环境给我们提供的一个代理服务器,(使用的是 http-proxy-middleware)devServer 就相当于 用一个 中间件服务器来访问,服务器是没有 同源策略的。因为浏览器是由同源策略的。devServer 就是。
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值