MyBatis 中 ${}和 #{}千万不要乱用

2024-03-15 11:38
文章标签 mybatis 不要 千万 乱用

本文主要是介绍MyBatis 中 ${}和 #{}千万不要乱用,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

1、#{}是预编译处理,MyBatis在处理#{ }时,它会将sql中的#{ }替换为?,然后调用PreparedStatement的set方法来赋值,传入字符串后,会在值两边加上单引号,如上面的值 “4,44,514”就会变成“ ‘4,44,514’ ”;

2、 是 字 符 串 替 换 , 在 处 理 是 字 符 串 替 换 , M y B a t i s 在 处 理 时 , 它 会 将 s q l 中 的 {}是字符串替换,在处理{ }是字符串替换, MyBatis在处理{ }时,它会将sql中的 MyBatis,sql{ }替换为变量的值,传入的数据不会加两边加上单引号。

注意:使用${ }会导致sql注入,不利于系统的安全性!SQL注入:就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。常见的有匿名登录(在登录框输入恶意的字符串)、借助异常获取数据库信息等

package com.xiaobu.mapper;import com.xiaobu.base.mapper.MyMapper;
import com.xiaobu.entity.Country;import java.util.List;/*** @author xiaobu* @version JDK1.8.0_171* @date on  2018/11/27 19:21* @description V1.0*/
public interface CountryMapper extends MyMapper<Country> {/*** 功能描述:通过#{}来进行查询** @param ids id* @return java.util.List<com.xiaobu.entity.Country>* @author xiaobu* @date 2019/7/26 11:53* @version 1.0*/List<Country> findList(String ids);/*** 功能描述:通过${}来进行查询** @param ids id* @return java.util.List<com.xiaobu.entity.Country>* @author xiaobu* @date 2019/7/26 11:53* @version 1.0*/List<Country> findList2(String ids);/*** 功能描述: 通过foreach来进行查询** @param ids id* @return java.util.List<com.xiaobu.entity.Country>* @author xiaobu* @date 2019/7/26 11:53* @version 1.0*/List<Country> findListByForEach(List<Integer> ids);
}
<?xml version="1.0" encoding="UTF-8" ?><!DOCTYPE mapper PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN" "http://mybatis.org/dtd/mybatis-3-mapper.dtd" >
<mapper namespace="com.xiaobu.mapper.CountryMapper"><select id="findList" resultType="com.xiaobu.entity.Country">select * from country where id in (#{ids} )</select><select id="findList2" resultType="com.xiaobu.entity.Country">select * from country where id in (${ids} )</select><select id="findListByForEach"  parameterType="List" resultType="com.xiaobu.entity.Country">select * from country where id in<foreach collection="list" index="index" item="item" open="(" separator="," close=")">#{item}</foreach></select>
</mapper>
 @Testpublic void  countTotal(){//统计总数 SELECT COUNT(Id) FROM countryExample example = new Example(City.class);int count =countryMapper.selectCountByExample(example);System.out.println("count = " + count);//按条件查询  SELECT COUNT(Id) FROM countryCountry country = new Country();//country.setCountryname("1234");int conunt2 = countryMapper.selectCount(country);System.out.println("conunt2 = " + conunt2);}@Testpublic void  findList(){//Preparing: select * from country where id in ( '1,2,3')List<Country> countries = countryMapper.findList("1,2,3");//countries = [Country(countryname=Angola, countrycode=AO)]System.out.println("countries = " + countries);//报错   There is no getter for property named 'ids' in 'class java.lang.StringList<Country> countries2 = countryMapper.findList2("1,2,3");System.out.println("countries2 = " + countries2);}@Testpublic void  findListByForeach(){//Preparing: select * from country where id in ( ? , ? , ? )//Parameters: 1(Integer), 2(Integer), 3(Integer)List<Integer> list = new ArrayList<>(3);list.add(1);list.add(2);list.add(3);List<Country> countries2 = countryMapper.findListByForEach(list);System.out.println("countries2 = " + countries2);}

foreach 说明

  1. item表示集合中每一个元素进行迭代时的别名,
  2. index指 定一个名字,用于表示在迭代过程中,每次迭代到的位置,
  3. open表示该语句以什么开始,
  4. separator表示在每次进行迭代之间以什么符号作为分隔符,
  5. close表示以什么结束。
  6. collection指参数类型

这篇关于MyBatis 中 ${}和 #{}千万不要乱用的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/811856

相关文章

MyBatis-Plus 自动赋值实体字段最佳实践指南

《MyBatis-Plus自动赋值实体字段最佳实践指南》MyBatis-Plus通过@TableField注解与填充策略,实现时间戳、用户信息、逻辑删除等字段的自动填充,减少手动赋值,提升开发效率与... 目录1. MyBATis-Plus 自动赋值概述1.1 适用场景1.2 自动填充的原理1.3 填充策略

mybatis中resultMap的association及collectio的使用详解

《mybatis中resultMap的association及collectio的使用详解》MyBatis的resultMap定义数据库结果到Java对象的映射规则,包含id、type等属性,子元素需... 目录1.reusltmap的说明2.association的使用3.collection的使用4.总

mybatis-plus QueryWrapper中or,and的使用及说明

《mybatis-plusQueryWrapper中or,and的使用及说明》使用MyBatisPlusQueryWrapper时,因同时添加角色权限固定条件和多字段模糊查询导致数据异常展示,排查发... 目录QueryWrapper中or,and使用列表中还要同时模糊查询多个字段经过排查这就导致只要whe

SpringBoot集成MyBatis实现SQL拦截器的实战指南

《SpringBoot集成MyBatis实现SQL拦截器的实战指南》这篇文章主要为大家详细介绍了SpringBoot集成MyBatis实现SQL拦截器的相关知识,文中的示例代码讲解详细,有需要的小伙伴... 目录一、为什么需要SQL拦截器?二、MyBATis拦截器基础2.1 核心接口:Interceptor

MyBatis-Plus通用中等、大量数据分批查询和处理方法

《MyBatis-Plus通用中等、大量数据分批查询和处理方法》文章介绍MyBatis-Plus分页查询处理,通过函数式接口与Lambda表达式实现通用逻辑,方法抽象但功能强大,建议扩展分批处理及流式... 目录函数式接口获取分页数据接口数据处理接口通用逻辑工具类使用方法简单查询自定义查询方法总结函数式接口

MyBatis中$与#的区别解析

《MyBatis中$与#的区别解析》文章浏览阅读314次,点赞4次,收藏6次。MyBatis使用#{}作为参数占位符时,会创建预处理语句(PreparedStatement),并将参数值作为预处理语句... 目录一、介绍二、sql注入风险实例一、介绍#(井号):MyBATis使用#{}作为参数占位符时,会

mybatis执行insert返回id实现详解

《mybatis执行insert返回id实现详解》MyBatis插入操作默认返回受影响行数,需通过useGeneratedKeys+keyProperty或selectKey获取主键ID,确保主键为自... 目录 两种方式获取自增 ID:1. ​​useGeneratedKeys+keyProperty(推

MyBatis-Plus 中 nested() 与 and() 方法详解(最佳实践场景)

《MyBatis-Plus中nested()与and()方法详解(最佳实践场景)》在MyBatis-Plus的条件构造器中,nested()和and()都是用于构建复杂查询条件的关键方法,但... 目录MyBATis-Plus 中nested()与and()方法详解一、核心区别对比二、方法详解1.and()

MyBatis ResultMap 的基本用法示例详解

《MyBatisResultMap的基本用法示例详解》在MyBatis中,resultMap用于定义数据库查询结果到Java对象属性的映射关系,本文给大家介绍MyBatisResultMap的基本... 目录MyBATis 中的 resultMap1. resultMap 的基本语法2. 简单的 resul

Mybatis的分页实现方式

《Mybatis的分页实现方式》MyBatis的分页实现方式主要有以下几种,每种方式适用于不同的场景,且在性能、灵活性和代码侵入性上有所差异,对Mybatis的分页实现方式感兴趣的朋友一起看看吧... 目录​1. 原生 SQL 分页(物理分页)​​2. RowBounds 分页(逻辑分页)​​3. Page