【MyBatis 学习二】增删改查&& 参数占位符 #{} 和 ${}的使用
目录
一、增删改查
1、用户类
2、UserMapper
3、UserMapper.xml
4、测试类Test
5、UserService类
6、UserController类
7、注意点总结
二、#{} 和${} 的使用区别
1、#{}与${}的区别(SQL注入)
2、$的SQL注入:用户登录演示
3、$的使用场景:排序+like
使用场景1:排序
使用场景2:like
一、增删改查
1、用户类
注意:这里的用户类的属性与数据库中的表的字段要一一对应才行。关于两者可以不一致的写法,我们后续再继续介绍~
@Data
public class User {
private Integer Id;
private String username;
private String password;
private String photo;
private Date createTime;
private Date updateTime;
}2、UserMapper
@Mapper
public interface UserMapper {
//定义接口:查询数据库内容
/**
* 查询所有内容
* @return 返回数据库中的所有用户
*/
public abstract List queryAll();
/**
* 根据Id查询用户
* @return 返回符合条件大用户
*/
//(1)当只有一个参数的时候,可以加注解也可以不加:加注解的话:@Param("uid"),xml文件也叫uid要对应。
public abstract User queryById(@Param("uid") Integer id);
//(2)当只有一个参数的时候,如果不加注解@Param,此时的Integer后的参数名叫什么都行,可以与xml文件中的where id = 后的参数名不对应
// public abstract User queryById(Integer aaa);
//(3)当有多个参数的时候,就得加注解@Param
/**
* 增加:插入一个对象:也就是一条记录
* @param user 插入对象
* @return 返回受影响的行数
*/
public abstract Integer insert(User user);
//加注解
public abstract Integer insert1(@Param("aaa") User user);
//获取自增id
public abstract Integer insert2(@Param("userinfo")User user);
/**
* 修改用户内容:加注解的方式
* @param user
*/
// void update(@Param("ccc") User user);
//不加注解
void update(User user);
/**
* 根据主键删除id:没有加注解
* @param id
*/
// void delete(Integer Id);
//加注解的方式
void delete(@Param("aaa") Integer id);
} 3、UserMapper.xml
insert into userinfo(username,password,photo) values(#{username},#{password},#{photo})
insert into userinfo(username,password,photo) values(#{aaa.username},#{aaa.password},#{aaa.photo})
insert into userinfo(username,password,photo) values(#{userinfo.username},#{userinfo.password},#{userinfo.photo})
update userinfo set username=#{ccc.username}, password=#{ccc.password} where id = #{ccc.id}
delete from userinfo where id= #{aaa}
4、测试类Test
@Slf4j
@SpringBootTest
class UserMapperTest {
@Autowired
private UserMapper userMapper;
@Test
void queryById() {
log.info("queryById...");
User user = userMapper.queryById(1);
log.info(user.toString());
}
@Test
void insert() {
log.info("insert...");
User user = new User();
user.setUsername("小花花");
user.setPassword("123");
user.setPhoto("jfdsf");
Integer row = userMapper.insert(user);
log.info("insert:"+row +user.getId());
}
@Test
void insert1() {
log.info("insert...");
User user = new User();
user.setUsername("小叶子");
user.setPassword("456");
user.setPhoto("doasj");
Integer row = userMapper.insert(user);
log.info("insert:"+row);
}
@Test
void insert2() {
log.info("insert...");
User user = new User();
user.setUsername("小兔子");
user.setPassword("000");
user.setPhoto("000");
System.out.println(user.getId());
System.out.println(user.getUsername());
Integer row = userMapper.insert(user);
log.info("insert:"+row+"自增id"+user.getId());
}
@Test
void update() {
log.info("update...");
User user = new User();
user.setId(1);
user.setUsername("小老虎");
user.setPassword("888");
userMapper.update(user);
}
@Test
void delete() {
log.info("delete...");
userMapper.delete(16);
}
}5、UserService类
@Service
public class UserService {
/**
* 根据Id查询用户
*/
@Resource
private UserMapper userMapper;
public User queryById(){
return userMapper.queryById(1);
}
}6、UserController类
@RestController
@RequestMapping("/web")
public class UserController {
@Resource
private UserService userService;
@RequestMapping("/queryById")
public User queryById(){
return userService.queryById();
}
}
7、注意点总结
1、根据Id查询用户
情况1:当只有一个参数的时候,可以加注解也可以不加。
(1)不加注解:参数名可以任意:
(2)加注解:@Param("uid"),xml文件也叫uid要对应。而Integer后的名字可以任意。
(3)如果有多个参数:就必须加注解。
2、插入数据
情况1:不加注解
情况2:加注解
问题:怎么拿到自增Id?
(1)useGeneratedKeys:这会令 MyBatis 使⽤ JDBC 的 getGeneratedKeys ⽅法来取出由数据库内部⽣成的主键(⽐如:像 MySQL 和 SQL Server 这样的关系型数据库管理系统的⾃动递增字段),默认值:false。
(2)keyColumn:设置⽣成键值在表中的列名,在某些数据库(像 PostgreSQL)中,当主键列不是表中的第⼀列的时候,是必须设置的。如果⽣成列不⽌⼀个,可以⽤逗号分隔多个属性名称。
(3)keyProperty:指定能够唯⼀识别对象的属性,MyBatis 会使⽤ getGeneratedKeys 的返回值或 insert 语句的 selectKey ⼦元素设置它的值,默认值:未设置(unset)。如果⽣成列
不⽌⼀个,可以⽤逗号分隔多个属性名称。
个人总结:
其实增删改查都可以加注解或者不加,不过在插入数据和修改数据的时候,加注解@Param("aaa")的方式要用对象名.属性(aaa.getName)获取。在通过id查询和删数数据的时候,给id加注解@Param("uid")的方式,其中注解后的参数要和xml文件中的#{uid}内容一致。 一般不加,防止出错。
二、#{} 和${} 的使用区别
现象1:将queryById的方法中的#替换为$:两者成功!
现象2:根据姓名来查询
1、#{}与${}的区别(SQL注入)
#{}:预编译处理。通过占位方式实现。
${}:字符直接替换。有SQL注入问题。
(1)预编译处理是指:MyBatis 在处理#{}时,会将 SQL 中的 #{} 替换为?号,通过占位的方式实现来赋值。(2)直接替换:是MyBatis 在处理 ${} 时,就是把 ${} 替换成变量的值。直接被当做是sql语句的一部分来执行,被当做是列名了,属于字符的直接替换,会造成SQL注入(用户输入的SQL中带有恶意SQL)。加了引号之后才会被当做一个参数。
举个栗子
我们再打印日志观察一下:
首先在xml文件中添加:
和上面我们所说的内容是相符的。
问题1:是不是#{}就等同于${}呢?我们继续看下面
2、$的SQL注入:用户登录演示
根据用户名和密码查询:
情况1:根据#查询
情况2:根据$查询: 
总结1:
sql 注⼊代码:“' or 1='1”。
(1)#方式:
用户名密码正确,查询出对应用户;
用户名正确,密码错误,显示null;
SQL注入:显示为null。
(2)$方式
用户名密码正确,查询出对应用户;
用户名正确,密码错误,显示为null;
SQL注入:也能查询出用户!!!
回答上面的问题1,两者之间还是不等价的,$存在SQL注入的问题。那么又有新的问题了。
问题2:我们是不是就不使用$了呢?肯定不是,存在肯定有它存在的道理。
3、$的使用场景:排序+like
使用场景1:排序
如果使用#的方式:发现不能实现排序功能。
所以在排序问题上只能使用$符号,但是它存在SQL注入(用户输入的SQL带有恶意SQL)的问题,怎么解决呢?那就让用户只能点击,后端在查询之前,对参数进行校验:只能传两个值:desc和asc。其中${}不用再加引号了。
使用场景2:like
like使用#会报错,使用$可以查询出来。
使用$方式设置,成功。
但是使用$还是存在SQL注入的问题,我们解决不了,所以用另一种方式:需要使用mysql内置函数concat(字符串直接替换)。
总结2:
在排序和like的时候,直接使用#会报错,使用$可以成功。但是都存在SQL注入的问题,其中,排序的解决办法是:后端在查询之前,对参数进行校验:只能传两个值:desc和asc。在like的时候,$的SQL注入问题无法解决,我们一般使用mysql内置函数concat。
