springboot使用mybatis动态表名添加和删除,#{}与${}的用法
1:xml文件,参数类似使用不是map的话,需要注意会出现一下问题
<update id="createTable" parameterType="java.lang.String" >
CREATE TABLE IF NOT EXISTS ${tableNameN} (
`id` int(10) NOT NULL AUTO_INCREMENT,
`device_ip` varchar(255) DEFAULT NULL,
`channel` int(10) DEFAULT NULL,
`create_time` timestamp NULL DEFAULT CURRENT_TIMESTAMP,
`content` text,
PRIMARY KEY (`id`) USING BTREE,
KEY `create_time` (`create_time`) USING BTREE
) ENGINE=InnoDB AUTO_INCREMENT=28121 DEFAULT CHARSET=utf8 ROW_FORMAT=DYNAMIC COMMENT='震动器数据';
</update>
- There is no getter for property named ‘tableNameN’ in ‘class java.lang.String’,意思就是String类没有名为’tableNameN’的属性
- 原因:Mybatis默认采用ONGL解析参数,所以会自动采用对象树的形式取string.tableNameN值,引起报错。
- 解决办法:再dao层接口中给相应的方法加上参数说明,注意导入的包是org.apache.ibatis.annotations.Param,操作如下:
import org.apache.ibatis.annotations.Param;
import org.jeecg.modules.hdx.entity.VibratorDTO;
/**
* @Author xu
* @create 2022/11/2
*/
public interface VibratorMapper {
void createTable(@Param(value = "tableNameN")String tableNameN);
}
2:如果使用的map,就可以不会报错
<update id="createTable" parameterType="java.util.Map" >
CREATE TABLE IF NOT EXISTS ${tableNameN} (
`id` int(10) NOT NULL AUTO_INCREMENT,
`device_ip` varchar(255) DEFAULT NULL,
`channel` int(10) DEFAULT NULL,
`create_time` timestamp NULL DEFAULT CURRENT_TIMESTAMP,
`content` text,
PRIMARY KEY (`id`) USING BTREE,
KEY `create_time` (`create_time`) USING BTREE
) ENGINE=InnoDB AUTO_INCREMENT=28121 DEFAULT CHARSET=utf8 ROW_FORMAT=DYNAMIC COMMENT='震动器数据';
</update>
import org.jeecg.modules.hdx.entity.VibratorDTO;
import java.util.List;
import java.util.Map;
/**
* @Author xu
* @create 2022/11/2
*/
public interface VibratorMapper {
void createTable(Map<String, String> createTableMap);
}
注意:
- mybatis中加载sql语句可以分为预编译和非预编译,默认预编译,而 statementType=”STATEMENT”为非预编译,同时也必须使用${}来获取传入的参数值
- sql里的变量取值是KaTeX parse error: Expected 'EOF', got '#' at position 9: {xxx},不是#̲{xxx} 如果{xxx}传入的参数为字符串数据,需在参数传入前加上引号,注意这是给变量字符串的,不是表的,如果表为字符串会报错:
String name = "woshizhifuchuan"; name = "'" + name + "'";
- 或者在xml这样写:因为我们传的参数值(除去表名、表字段)的引号也被去掉了,我们需要在给参数加上引号,此时我> 们可以使用转义符:’ 是单引号(’ ),如下COMMENT的备注内容为字符串显示
<update id="createTable" parameterType="java.lang.String" statementType="STATEMENT"> CREATE TABLE IF NOT EXISTS ${tableNameN} ( `id` int(10) NOT NULL AUTO_INCREMENT, `device_ip` varchar(255) DEFAULT NULL, `channel` int(10) DEFAULT NULL, `create_time` timestamp NULL DEFAULT CURRENT_TIMESTAMP, `content` text, PRIMARY KEY (`id`) USING BTREE, KEY `create_time` (`create_time`) USING BTREE ) ENGINE=InnoDB AUTO_INCREMENT=28121 DEFAULT CHARSET=utf8 ROW_FORMAT=DYNAMICCOMMENT='${tableNameN}'; update>注意:转义序列字符之间不能有空格;
转义序列必须以”;”结束;
单独出现的”&”不会被认为是转义的开始;
区分大小写。
3:mybatis里#{}与${}的用法
在动态sql解析过程,#{}与${}的效果是不一样的:
#{} 解析为一个 JDBC 预编译语句(prepared statement)的参数标记符。
如以下sql语句
select * from user where name = #{name};
--会被解析为:
select * from user where name = #{name};
可以看到#{}被解析为一个参数占位符?
${} 仅仅为一个纯碎的 string 替换,在动态 SQL 解析阶段将会进行变量替换
如以下sql语句:
select * from user where name = ${name};
--当我们传递参数“sprite”时,sql会解析为:
select * fr```om user where name = "dollar";
可以看到预编译之前的sql语句已经不包含变量name了
综上所得, ${ } 的变量的替换阶段是在动态 SQL 解析阶段,而 #{ }的变量的替换是在 DBMS 中
#{}与${}的区别可以简单总结如下:
- #{}将传入的参数当成一个字符串,会给传入的参数加一个双引号
- ${}将传入的参数直接显示生成在sql中,不会添加引号
- #{}能够很大程度上防止sql注入,${}无法防止sql注入
${}在预编译之前已经被变量替换了,这会存在sql注入的风险。如下sql
select * from ${tableName} where name = ${name}
--如果传入的参数tableName为user; delete user; --,那么sql动态解析之后,预编译之前的sql将变为:
select * from user; delete user; -- where name = ?;
之后的语句将作为注释不起作用,顿时我和我的小伙伴惊呆了!!!看到没,本来的查询语句,竟然偷偷的包含了一个删除表数据的sql,是删除,删除,删除!!!重要的事情说三遍,可想而知,这个风险是有多大
- ${}一般用于传输数据库的表名、字段名等
- 能用#{}的地方尽量别用${}
动态传入表名和字段名
要实现动态调用表名和字段名,就不能使用预编译了,需添加statementType=“STATEMENT” 。
statementType:STATEMENT(非预编译),PREPARED(预编译)或CALLABLE中的任意一个,这就告诉 MyBatis 分别使用Statement,PreparedStatement或者CallableStatement。默认:PREPARED。这里显然不能使用预编译,要改成非预编译。
其次,sql里的变量取值是${xxx},不是#{xxx}。
因为$ {}是将传入的参数直接显示生成sql,如${xxx}传入的参数为字符串数据,需在参数传入前加上引号