Mybatis学习
mybatis http://www.mybatis.org/mybatis-3/zh/index.html
动态SQL
- MyBatis的加强大在于他的动态SQL
- 动态 SQL 元素和 JSTL 或基于类似 XML 的文本处理器相似。在 MyBatis 之前的版本中,有很多元素需要花时间了解。MyBatis 3 大大精简了元素种类,现在只需学习原来一半的元素便可。MyBatis 采用功能强大的基于 OGNL 的表达式来淘汰其它大部分元素。
- if(简单的条件判断)
- choose(when,otherwize),想到与Java中的switch,与Jstl中的choose类似
- trim(对包含的内容加prefix或suffix等)
- where(主要简化sql语句中的where条件判断,智能处理and or,不必担心多余导致语法错误)
- set(用于update 更新)
- foreach(sql 中的 in 语句,查询时特别管用)
if
if就是简单的条件判断,利用if语句我们可以实现某些简单的条件选择。动态 SQL 通常要做的事情是有条件地包含 where 子句的一部分
choose(when,otherwize)
when元素表示当when中的条件满足的时候就输出其中的内容,跟JAVA中的switch效果差不多的是按照条件的顺序,当when中有条件满足的时候,
就会跳出choose,即所有的when和otherwise条件中,只有一个会输出,当所有的我很条件都不满足的时候就输出otherwise中的内容
trim(prefix,suffix),代替where
trim元素的主要功能是可以在自己包含的内容前加上某些前缀,也可以在其后加上某些后缀,与之对应的属性是prefix和suffix;可以把包含内容的首部某些内容覆盖,即忽略,也可以把尾部的某些内容覆盖,对应的属性是prefixOverrides和suffixOverrides;正因为trim有这样的功能,所以我们也可以非常简单的利用trim来代替where元素的功能
trim代替set标签
if/trim代替set(判断参数) - 将实体类不为空的属性更新
update user
username=#{username},
age=${age}
id=${id}
set
set元素主要是用在更新操作的时候,它的主要功能和where元素其实是差不多的,主要是在set标签包含的语句前输出一个set。如果包含的语句是以逗号结束的话将会把该逗号忽略。如果set包含的内容为空的话则会出错。有了set元素我们就可以动态的更新那些修改了的字段,而不用每次更新全部字段
update user
username=#{username}
where id=${id}
foreach
foreach的主要用在构建in条件中,它可以在SQL语句中进行迭代一个集合。foreach元素的属性主要有item,index,collection,open,separator,close
- item 表示集合中的每一个元素进行迭代时的别名
- index 指定一个名字,用于表示迭代过程中每次迭代的位置
- open 表示语句以什么开始
- separator 表示在每次进行迭代之间以什么符号作为分隔符
- close 表示以什么结束
- collection 最关键的也是最容易出错的,该属性必须指定且在不同情况下属性值不一样
- 如果传入的是单参数且参数类型是一个List的时候,collection属性值为list
- 如果传入的是单参数结参数类型是一个array数组的时候,collection的属性值为array
- 如果传入的参数是多个的时候,我们就需要把它们封装成一个Map了,当然单参数也可以封装成map,实际上如果你在传入参数的时候,在MyBatis里面也是会把它封装成一个Map的,map的key就是参数名,所以这个时候collection属性值就是传入的List或array对象在自己封装的map里面的key
- list类型
// public List foreachList(List ids);
- array数组类型
// public List foreachArray(int[] ids);
- Map 封装
@Test
public void foreachMap() {
SqlSession session = Util.getSqlSessionFactory().openSession();
UserMapper userMapper = session.getMapper(UserMapper.class);
final List ids = new ArrayList();
ids.add(1);
ids.add(2);
ids.add(3);
Map params = new HashMap();
params.put("ids", ids);
params.put("username", "张三");
List users = userMapper.foreachMap(params);
for (User user : users)
System.out.println(user);
session.close();
}
Mybatis防止SQL注入
Mybatis是启用SQL预编译功能的,底层实现原理:是JDBC中的PreparedStatement类在起作用,PreparedStatement是我们很熟悉的Statement的子类,它的对象包含了编译好的SQL语句。这种“准备好”的方式不仅能提高安全性,而且在多次执行同一个SQL时,能够提高效率。原因是SQL已编译好,再次执行时无需再编译。
- #{}:相当于JDBC中的PreparedStatement,是经过预编译的,是安全的
- ${}:输出变量的值,会直接参与SQL编译,是未经过预编译的,仅仅是取变量的值,存在SQL注入,是非安全的
这里,parameterType表示了输入的参数类型,resultType表示了输出的参数类型。回应上文,如果我们想防止SQL注入,理所当然地要在输入参数上下功夫.当输入参数是打印出的sql是:
SELECT id,username,age FROM user WHERE id=?
不管输入什么参数,打印出的SQL都是这样的。这是因为MyBatis启用了预编译功能,在SQL执行前,会先将上面的SQL发送给数据库进行编译;执行时,直接使用编译好的SQL,替换占位符“?”就可以了。因为SQL注入只能对编译过程起作用,所以这样的方式就很好地避免了SQL注入的问题
以下将 #{} 换成 ${},给参数"id"赋值2,打印sql如下
SELECT id,username,age FROM user WHERE id=2
差异
// id=3,username=admin or 1=1
select * from user where id=#{id} and username=${username}
select * from where id=? and username=admin or 1=1
//以上执行时会执行or这样就存在安全问题
//这里用户username=id
select * from user order by ${username}
select * from user order by id
//显然,这样是无法阻止SQL注入的