Mybatis 传参与排序模糊查询功能实现

一、#{ }和${ }传参的区别

我们先来看一下，使用两个方式传递Integer的日志上的不同。

• 我们可以看见使用#{ }传参的参数没有在后⾯拼接，id的值是使⽤ ? 进⾏占位. 这种SQL 我们称之为"预编译SQL&qphpuot; 。而使用${ } 传参的参数直接在后⾯拼接，这种SQL 我们称之为"即时SQL" 。
• 并且当我们使用${ ]传String类型的参数的时候，我们跟#{ }使用同样方式会报错。

这个原因是因为${ }传参是直接拼接，导致我们SQL语句传参是字符串时参数没有用引号括起来，语法直接报错了。我们使用${ }传字符串要php加引号。

    @Select("select * from user_info where username = '${userName}' and password = '${password}'")
    List<UserInfo> selectUsernameAndPassWord(String userName, String password) ;

即时SQL与预编译SQL区别：

一条SQL的执行流程如下：

• 解析语法和语义, 校验SQL语句是否正确
• 优化SQL语句, 制定执⾏计划
• 执⾏并返回结果

预编译SQL就可以当执行相同SQL语句，只是参数不同时，不用执行第1步和 第2步。编译⼀次之后会将编译后的SQL语句缓存起来，后⾯再次执⾏这条语句时，不会再次编译。

#{ }与${ }区别：

• #{ }由于是预编译SQL的原因性能更高一些。
• #{ }还能防止SQL注入的安全问题。

SQL注⼊：是通过操作输⼊的数据来修改事先定义好的SQL语句，以达到执⾏代码对服务器进⾏攻击的⽅法。
由于没有对⽤⼾输⼊进⾏充分检查，⽽SQL⼜是拼接⽽成，在⽤⼾输⼊参数时，在参数中添加⼀些SQL关键字，达到改变SQL运⾏结果的⽬的，也可以完成恶意攻击。

--这条SQL语句就有SQL注入的问题
select username, `password`, age, gender, phone from user_info where 
password = ''or 1 ='1'

二、排序

我们将排序的方式作为参数传递，用户选择升序还是降序。

@Select("select * from user_info order by id #{order}")
    List<UserInfo> selectAllSort(String order) ;

测试方法：

    @Test
    void selectAllSort() {
        System.out.println(userMapper.selectAllSort("desc"));
    }

向上面这样使用#{ }传参会报错：会解析SQL语句为select * from user_info order by id ‘desc’

我们在这种情况下 只能使用${ }传参。但是又要防止SQL注入的风险。由于排序只有desc和asc两种选项，我们在后端写好校验，防止SQL注入。

    @Select("select * from user_info order by id ${order}")
    List<UserInfo> selectAllSort(String order) ;

三、like查询

@Select("select * from user_info where username like '%#{name}%' ")
    List<UserInfo> selectLike(String name) ;

也会报错：解析为select * from user_info where username like ‘%'zhang'%'

我们这里不能使用${ }来解决，由于参数不是有限固定的，不能进行校验 防止SQL注入。我们使用SQL的字符串拼接函数concat。

@Select("select * from user_info where username like concat('%', #{name} ,'%') ")
    List<UserInfo> selectLike(String name) ;

测试方法：

    @Test
    void selectLike() {
        userMapper.selectLike("zhang");
    }

结果：

四、数据库连接池

数据库连接池负责分配、管理和释放数据库连接，它允许应⽤程序重复使⽤⼀个现有的数据库连接，⽽不是再重新建⽴⼀个。

常⻅的数据库连接池：C3P0 DBCP Druid Hikari ⽬前⽐较流⾏的是 Hikari, Druid。

Hikari是SpringBoot默认使⽤的数据库连接池。
果我们想把默认的数据库连接池切换为Druid数据库连接池,只需要引⼊相关依赖即可。

--3.x版本
<dependency>
 <groupId>com.alibaba</groupId>
 <artifactChina编程Id>druid-spring-boot-3-starter</artifactId>
 <version>1.2.21</version>
</dependency>
--2.x版本
<dependency>
 <groupId>com.alibaba</groupId>
 <artifactId>druid-spring-boot-starter</artifactId>
 <version>1.1.17</version>
</dependency>

五、MySQL 开发企业规范

表名, 字段名使⽤⼩写字⺟或数字, 单词之间以下划线分割. 尽量避免出现数字开头或者两个下划线中间只出现数字.数据库字段名的修改代价很⼤,所以字段名称需要慎重考虑。

MySQL 在 Wiwww.chinasem.cnndows 下不区分⼤⼩写, 但在 linux下默认是区分⼤⼩写.因此,数据库名,表名,字段名都不允许出现任何⼤写字⺟, 避免节外⽣枝
正例： aliyun_admin，rdc_config， level3_name
反例： AliyunAdmin，rdcConfig，level_3_name

表必备三字段: id, create_time, update_time

id 必为主键, 类型为 bigint unsigned, 单表时⾃增, 步⻓为 1
create_time, update_time 的类型均为 datetime 类型, create_time表⽰创建时间,
update_time表⽰更新时间
有同等含义的字段即可, 字段名不做强制要求

在表查询中, 避免使⽤ * 作为查询的字段列表, 标明需要哪些字段.

• 增加查询分析器解析成本
• 增减字段容易与 resultMap 配置不⼀致
• ⽆⽤字段增加⽹络消耗, 尤其是text 类型的字段python

到此这篇关于MyBATis 传参与排序模糊查询的文章就介绍到这了,更多相关Mybatis 模糊查询内容请搜索编程China编程(www.chinasem.cn)以前的文章或继续浏览下面的相关文章希望大家以后多多支持China编程(www.chinasem.cn)！