mybatis-select与update多字段判断拼接-xml写法

最新推荐文章于 2025-03-26 20:08:16 发布
原创 最新推荐文章于 2025-03-26 20:08:16 发布 · 1.4k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#mysql #sql #mybatis #数据库

本文总结了使用MyBatis进行动态SQL操作,包括在select和update语句中如何根据对象属性进行多字段的条件判断拼接。在查询时,利用`if`标签和`include`实现条件复用,而在更新操作中,使用`case when`进行字段判断更新。这些技巧提高了代码的复用性和可维护性。

最近用mybatis进行select和update操作,因为一般只传入一个对象,却只对其中某些属性进行查询或更新,这时要写通用的sql语句,就必然涉及到多字段判断拼接。在这里做一个总结:

1. select多字段判断拼接

只传一个ArticleQuery对象,返回Article对象,常用

    <!--文章查询的sql片断,建议是以单表为单位定义查询条件,建议将常用的查询条件都写出来-->
    <sql id="query_items_where">
        <if test="name!=null and name!=''">
            and name like '%${name}%'
        </if>
        <if test="title!=null and title!=''">
            and title like '%${title}%'
        </if>
        <if test="articleId!=null">
            and article_id = #{articleId}
        </if>
    </sql>


    <select id="queryByCondition" parameterType="ArticleQuery" resultType="Article">
            <!-- 注意ORDER BY后面用的是$而不是# -->
            select * from articles
            <where>
                <include refid="query_items_where" />
            </where>
            <!-- 排序字段判断 -->
            <if test="sort!=null and sort!=''">
                ORDER BY ${sort}
            </if>
           	<! -- 排序方向判断 -->
            <if test="direction!=null and direction!=''">
                ${direction}
            </if>

    </select>

主要通过“if”对字段是否为空进行判断,其中用到了“include”把“where”中的字段判断集中起来,这样其他sql语句可以复用

2. update多字段判断拼接

    <update id="updateArticle" parameterType="Article">
        UPDATE articles SET
         view_num =(case when #{viewNum}=null then view_num else #{viewNum} end),
         comment_num=(case when #{commentNum}=null then comment_num else #{commentNum} end),
         category_id=(case when #{categoryId}=null then category_id else #{categoryId} end),
         like_num=(case when #{likeNum}=null then like_num else #{likeNum} end)

        WHERE article_id=#{articleId}

    </update>

主要就是用“case when”进行字段判断拼接。

mysql 多个 SELECT 查询的结果集放多个字段
Programming Talk
04-10 1005
MySQL中,通常我们进行多个SELECT查询时,结果会分别返回,但如果希望将多个查询的结果集合并到一个结果集中,且每个查询结果作为一行的不同字段展示,这就需要使用一些特殊的SQL技巧或者编程语言(如PHP、Python等)对查询结果进行处理。以上代码将会把两个查询的结果合并到一个数组中,虽然不是同一个“字段”,但在逻辑上它们位于同一“行”。如果确实需要将多个独立的查询结果合并到单行的不同字段,且查询之间并无关联,那么可能就需要借助于程序逻辑来实现了。以下是一个示例,假设我们有两个表​。
Spring Boot入门(14):使用Mybatis-Plus轻松实现高效自定义SQL操作!
热门推荐
**My Coding Family**
08-20 3万+
如何使用Mybatis-Plus执行自定义SQL,一文教会你。
Mybatis的学习
qq_45358288的博客
03-15 1104
基本c namespace 是mabatis映射文件的唯一标识,接口对应 select标签: id属性 必须方法名称一致 resulttype:返回值的pojo类型 mybatis取值语法: #{属性名},用户在执行"更新"操作时,自动的返回影响的行数 #{key}根据map中key获取value的数据 xml文件转义 大于 &gt; 小于 &lt; &amp; 转义标签 <![CDATA[需要转义的内容]> 单值传参(数字,字符串,对象.
mybatis动态sql
玉爷的博客
07-08 338
1、if标签 <select id="queryUserByWhere" resultType="User" parameterType="User"> select * from user <if test="sex != null and sex != ''"> where sex == #{sex} </if> </select>...
java update set_mybatis update set 多个字段实例
weixin_42304604的博客
02-13 1414
我就废话不多说了,大家还是直接看代码吧~UPDATE customer setname=#{name,jdbcType=VARCHAR},role=#{role,jdbcType=VARCHAR},user_id = #{userId,jdbcType=INTEGER},qq = #{qq,jdbcType=VARCHAR},mobile = #{mobile,jdbcType=VARCHAR}W...
mybatis的mapper.xml文件中update语句条件判断踩坑记录“<if test>”标签
Clarence_Pang的博客
05-06 2072
这里执行完之后会把“condition”里面的“status”字段更新为“2”,无论接口入参里面传什么值,这里“status”都会被更新为“2”;今天遇到个让人摸不着头脑的问题,update语句条件里面的“status”字段赋值为“1”,代码执行完数据库更新为“2”;检查代码逻辑、检查sql语法都没查到问题,不得已逐行打日志,最终定位到是sql执行过程中出的问题;基本语法可能都知道,就是在写代码的时候容易忽略这些细节,记录一下共勉。
深入解析 MyBatis-Plus 批量操作:原理、实现性能优化&MyBatis参数映射机制详解
lucky_love816的博客
03-26 1903
本文探讨MyBatis-Plus在高并发场景下的批量数据库操作优化。重点分析批量更新和自定义批量插入的实现原理:批量更新通过动态拼接CASE WHEN语句实现单SQL多记录更新,减少网络请求;自定义批量插入突破MyBatis-Plus默认的逐条插入模式,通过SQL注入器和动态代理机制实现高效批量处理。文章提供了详细的XML配置示例、性能优化建议(如分批次提交、数据库参数配置)以及避坑指南,帮助开发者在处理大数据量时显著提升系统性能。
五天SpringCloud计划——DAY1之mybatis-plus的使用
2301_82067992的博客
11-21 3048
这部分内容比较多,我总结一下要点mybatis-plus处理“更复杂的数据库操作”主要是通过条件构造器来实现的,个人觉得最好用的是,因为其比较全面,包括反射,条件构造,在更新的方法也可以用到它而条件构造器主要是构造where之后的内容,比如我们所讲到的自定义sql,字符串拼接的也是where部分的内容6.Service接口MybatisPlus不仅提供了BaseMapper,还提供了通用的Service接口及默认实现,封装了一些常用的service模板方法。通用接口为IService,默认实现为。
MyBatis学习总结(28)—— MyBatis-Plus 实战技巧总结
科技D人生
12-07 452
原因:使用具体的默认值可以提高代码的可读性和维护性NULL值会使索引失效,导致MySQL无法使用索引进行查询优化NULL值的比较需要特殊的处理逻辑,增加了CPU开销NULL值会占用额外的存储空间,影响数据压缩效率。
springboot整合mybatis-plus,及结果集null值、空值判断
weixin_54685622的博客
02-15 3793
1、添加jar包 <dependency> <groupId>org.projectlombok</groupId> <artifactId>lombok</artifactId> <optional>true</optional> </dependency> <dependency> <groupId>com.baomidou</groupId&gt
mybatis update set 多个字段_开发MyBatis自定义Interceptor拦截器的使用
weixin_39762666的博客
12-02 712
开发MyBatis自定义Interceptor拦截器的使用一、使用背景 笔者前几天分享的在Spring Cloud架构中,关于数据权限的处理。笔者在团队中采用的就是通过MyBatis拦截器,拦截sql语句,动态组装sql来完成添加数据权限的配置,本文笔者分享MyBatis自定义Interceptor的使用。二、拦截器注解 mybatis实现自定义拦截器实现过程: (1)实现org.apache.i...
mybatis xml参数变量类似String+号拼接实现
weixin_44192642的博客
07-01 985
总结一下,无论是字段、字符串常量还是它们的组合,你都可以直接把它们作为 `CONCAT()` 函数的参数来实现完整的拼接。函数完整拼接两个参数(可能是字段、字符串常量或两者的组合),你可以简单地列出这两个参数作为。,你想将它们拼接成一个完整的姓名,可以这样写。在 MySQL 中使用。
mybatis多表查询多字段接收问题
CHINAHamilton的博客
11-20 3651
mybatis多表查询多字段接收问题 在网上查了一下,没有发现很好的方案,基本都是要在实体类里面注入另一个实体类的字段。或者新写一个中间实体类接收。这样有时候要加字段,什么的都要调整实体类。今天学习到一种新的返回方式,Map返回数据类型来接收。 1、Mybatis文件写法(resultType使用Map) <select id="test" parameterType="String" resultType="Map"> select a.butler_id,a.user_id
mybatis update语句加判断怎么写??
sdzhangshulong的博客
03-29 1万+
id="updateAdministrationAsset" parameterType="com.opple.fa.assetcard.entity.AdministrationAsset"> update TB_FA_ADMINISTRATION_ASSET prefix="SET" suffixOverrides=","> test="null != serialNumber
mybatis sql select 根据条件,动态返回数据
Sucker的小笔记
05-08 2665
根据type值,动态返回数据 type值为1时,返回教师id:Id ; type值为2时,返回教师name:name; type值为3时,返回教师电话号码:mobile; <select id="selectFuzzy" resultType="java.util.HashMap"> select <if test = "type == ...
05 Mybatis应用篇---XML映射文件之select,insert,update,delete实战
hengzq的博客
04-09 852
XML映射文件之select,insert,update,delete实战
Mybatis多个参数解决方案
qq_38659629的博客
05-29 269
第一种方案 DAO层的函数方法 [java] view plain copyPublic User selectUser(String name,String sex);  对应的Mapper.xml  [java] view plain copy&lt;select id="selectUser" resultMap="UserMap"&gt;      select  *  from user...
Mybatis -XML 映射器(select,insert, update 和 delete)
rod0320的博客
11-14 1056
select 查询语句是 MyBatis 中最常用的元素之一——光能把数据存到数据库中价值并不大,还要能重新取出来才有用,多数应用也都是查询比修改要频繁。 MyBatis 的基本原则之一是:在每个插入、更新或删除操作之间,通常会执行多个查询操作。因此,MyBatis 在查询和结果映射做了相当多的改进。一个简单查询的 select 元素是非常简单的。比如: <select id="selectPerson" parameterType="int" resultType="hashmap"> S
mybatis中的xml拼接sql中参数字符串的方法
m0_67402731的博客
04-21 2716
场景 mybatis中接口方法对应的xml文件中的方法中,需要使用模糊搜索, 查询以参数开头的记录。 错误的sql拼接: <if test="locationVO != null and locationVO.selected != null"> ??????????? and location.goods_location_number like #{locationVO.selected}+'%' </if> 这样拼接sql语句为: and location.goods_lo
mybatis-plus 怎么 xml 中同时 使用 ${} #{}
最新发布
09-01
<think> 我们正在讨论MyBatis-Plus中XML映射文件同时使用`${}`和`#{}`的方法。在MyBatis中,`#{}`是预编译处理(参数占位符),而`${}`是字符串替换(直接拼接SQL)。两者有不同的使用场景和安全性考虑。 ### 1. 使用场景区别 - **`#{}`(安全)**: 将传入的数据作为参数处理,生成预编译的SQL语句(如`?`占位符),能有效防止SQL注入。适用于大多数情况,尤其是参数值传递。 - **`${}`(谨慎使用)**: 直接替换为变量的值(不转义),常用于动态表名、列名等无法使用预编译的场景。但直接拼接SQL可能引发SQL注入风险。 ### 2. 示例:XML中同时使用`${}`和`#{}` 以下示例展示在同一个SQL语句中混合使用两种占位符: ```xml <select id="selectByDynamicTable" resultType="User"> SELECT * FROM ${tableName} WHERE name = #{name} AND age > ${age} <!-- 注意:此处${age}有注入风险,除非确保age是数字且来源可信 --> </select> ``` - **说明**: - `${tableName}`:动态表名(如根据业务切换表)。 - `#{name}`:安全传递参数值(预编译)。 - `${age}`:直接拼接数字(若`age`来自用户输入且未校验,可能被注入恶意代码)。 ### 3. 安全使用`${}`的建议 1. **严格校验输入**: 确保`${}`中的值来自可信源(如内部生成而非用户输入),或进行严格白名单校验(如只允许特定字符串)。 2. **数字类型优先用`#{}`**: 即使对于数字,若来源不可控,应优先使用`#{}`(MyBatis会自动转换类型)。例如: ```xml <!-- 安全写法:强制使用#{},避免注入 --> WHERE age > #{age} ``` 3. **动态表名/列名的替代方案**: - **方案1(推荐)**:在Java代码中校验表名合法性,再通过`${}`传递。 - **方案2**:使用MyBatis的`<bind>`标签预处理动态值(但无法完全避免拼接)。 ### 4. 完整示例:动态表名 + 条件查询 - **Mapper接口**: ```java List<User> selectByDynamicTable(@Param("tableName") String tableName, @Param("name") String name, @Param("age") int age); ``` - **XML映射**: ```xml <select id="selectByDynamicTable" resultType="User"> <!-- 动态表名(需确保tableName经过校验) --> SELECT * FROM ${tableName} WHERE 1=1 <!-- 安全参数 --> <if test="name != null"> AND name = #{name} </if> <!-- 注意:此处age使用#{}更安全 --> <if test="age > 0"> AND age > #{age} </if> </select> ``` ### 5. 注意事项 - **禁止用户输入直接用于`${}`**: 任何用户可控输入(如URL参数、表单字段)都不应直接填入`${}`,否则可能导致SQL注入。 - **MyBatis-Plus的特殊支持**: 对于动态表名,MyBatis-Plus提供`IDynamicTableName`接口实现更安全的处理[^1],避免手动拼接。 §§相关问题§§ 1. 如何防止MyBatis中的SQL注入? 2. MyBatis-Plus有哪些安全处理动态表名的方法? 3. `<if>`标签和`${}`在动态SQL中的区别是什么? </think> 在 MyBatis-Plus 的 XML 映射文件中同时使用 `${}` 和 `#{}` 是常见的需求,两者有不同的作用和适用场景: ### ▶ 核心区别 | **特性** | `#{}` (预编译占位符) | `${}` (字符串替换) | |----------------|----------------------------------|----------------------------------| | **处理方式** | 生成 `?` 占位符,预编译防止 SQL 注入 | 直接替换为参数值 | | **安全性** | ✅ 安全 | ❌ 有 SQL 注入风险 | | **适用场景** | 值参数(WHERE 条件值、INSERT 值) | 动态 SQL 片段(表名、列名、关键字)| | **数据类型转换**| 自动类型转换 | 直接字符串替换 | ### ▶ 同时使用的典型场景 #### 1. 动态表名 + 安全参数值 ```xml <select id="selectByDynamicTable" resultType="User"> SELECT * FROM ${tableName} WHERE department_id = #{deptId} AND create_time > #{startDate} </select> ``` - `${tableName}`:动态表名(需确保来源安全) - `#{deptId}`/`#{startDate}`:安全的值参数 #### 2. 动态排序字段 + 固定条件 ```xml <select id="selectWithOrder" resultType="Employee"> SELECT * FROM employee WHERE status = #{status} ORDER BY ${orderField} ${orderDirection} </select> ``` - `${orderField}`:动态排序字段(如 "salary") - `${orderDirection}`:排序方向(ASC/DESC) - `#{status}`:安全的查询条件值 ### ▶ 安全使用 `${}` 的建议 1. **白名单校验**(关键防御) ```java // Mapper 接口中校验动态参数 List<User> selectByDynamicTable( @Param("tableName") String tableName, // 需校验 @Param("deptId") Long deptId ); // Service 层实现校验 private static final Set<String> ALLOWED_TABLES = Set.of("user_2023", "user_2024"); public List<User> safeQuery(String tableName, Long deptId) { if (!ALLOWED_TABLES.contains(tableName)) { throw new IllegalArgumentException("Invalid table name"); } return mapper.selectByDynamicTable(tableName, deptId); } ``` 2. **避免用户输入直接拼接** ```xml <!-- 危险示例:用户输入直接用于表名 --> SELECT * FROM ${userInput} <!-- 可能被注入 DROP TABLE --> ``` 3. **复杂场景结合 OGNL 表达式** ```xml <select id="search" resultType="Product"> SELECT * FROM products WHERE 1=1 <if test="dynamicColumn != null and allowedColumns.contains(dynamicColumn)"> ORDER BY ${dynamicColumn} <!-- 动态列名 --> </if> LIMIT #{limit} </select> ``` ### ▶ 混合使用最佳实践 ```xml <update id="updateDynamicColumn"> UPDATE ${tableName} SET <!-- 动态列名 + 安全值 --> ${columnName} = #{newValue}, update_time = NOW() WHERE id = #{id} AND tenant_id = #{tenantId} <!-- 多租户过滤 --> </update> ``` 1. `${tableName}`/${columnName}:运维可控的动态元素 2. `#{}`:所有值类型参数 3. **防御措施**: - 表名/列名通过正则校验:`^[a-z_][a-z0-9_]{0,63}$` - 租户ID强制使用 `#{}` 防止越权 > ⚠️ **重要安全提示**:当必须使用 `${}` 时,应 Spring 的 `@PreAuthorize` 或自定义拦截器结合,实现权限校验[^1]。MyBatis-Plus 的[安全审计插件](https://baomidou.com/pages/2976a3/)可自动填充安全字段[^2]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值