MyBatis 教程

MyBatis 参数字符串替换

MyBatis 在默认情况下,使用 #{} 参数语法时,MyBatis 会创建 PreparedStatement 参数占位符,并通过占位符安全地设置参数(就像使用 ? 一样)。 如下:

String sql = "select * from user where name = ?";
PreparedStatement preparedStatement = connection.prepareStatement(sql);
preparedStatement.setString(1, "ZhangSan");
ResultSet resultSet = preparedStatement.executeQuery();

这样做更安全,更迅速,通常也是首选做法,不过有时你就是想直接在 SQL 语句中直接插入一个不转义的字符串。 比如 ORDER BY 子句,这时候你可以:

ORDER BY ${columnName}

这样,MyBatis 就不会修改或转义该字符串了。

当 SQL 语句中的元数据(如表名或列名)是动态生成的时候,字符串替换将会非常有用。举个例子,如果你想 select 一个表任意一列的数据时,不需要这样写:

@Select("select * from user where id = #{id}")
User findById(@Param("id") long id);

@Select("select * from user where name = #{name}")
User findByName(@Param("name") String name);

@Select("select * from user where email = #{email}")
User findByEmail(@Param("email") String email);

// 其它的 "findByXxx" 方法

而是可以只写这样一个方法:

@Select("select * from user where ${column} = #{value}")
User findByColumn(@Param("column") String column, @Param("value") String value);

其中 ${column} 会被直接替换,而 #{value} 会使用 ? 预处理。 这样,就能完成同样的任务:

User userOfId1 = userMapper.findByColumn("id", 1L);
User userOfNameKid = userMapper.findByColumn("name", "kid");
User userOfEmail = userMapper.findByColumn("email", "noone@nowhere.com");

这种方式也同样适用于替换表名的情况。

注意:用这种方式接受用户的输入,并用作语句参数是不安全的,会导致潜在的 SQL 注入攻击。因此,要么不允许用户输入这些字段,要么自行转义并检验这些参数。

实例

(1)MyBatis 配置文件 mybatis-cfg.xml 内容如下:

<?xml version="1.0" encoding="UTF-8" ?>
<!DOCTYPE configuration PUBLIC "-//mybatis.org//DTD Config 3.0//EN"
  "https://mybatis.org/dtd/mybatis-3-config.dtd">
<configuration>
    <properties resource="database.properties"/>
    <environments default="MySqlDatabase" >
        <environment id="MySqlDatabase" >
            <transactionManager type="JDBC" />
            <dataSource type="POOLED">
                <property name="driver" value="${jdbc.driver}"/>
                <property name="url" value="${jdbc.url}"/>
                <property name="username" value="${jdbc.username}"/>
                <property name="password" value="${jdbc.password}"/>
            </dataSource>
        </environment>
    </environments>
    <mappers>
        <mapper resource="com/hxstrive/mybatis/parameter/demo1/UserMapper.xml" />
    </mappers>
</configuration>

(2)Mapper 接口文件定义,UserMapper.java 文件内容如下:

package com.hxstrive.mybatis.parameter.demo1;

import org.apache.ibatis.annotations.Param;
import java.util.List;

public interface UserMapper {

    /** 根据表中任何一列查询数据 */
    List<UserBean> getUsers(@Param("column") String column, @Param("value") String value);

}

(3)Mapper XML 文件定义,UserMapper.xml 文件内容如下:

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE mapper PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN"
   "https://mybatis.org/dtd/mybatis-3-mapper.dtd">
<mapper namespace="com.hxstrive.mybatis.parameter.demo1.UserMapper">

    <resultMap id="RESULT_MAP" type="com.hxstrive.mybatis.parameter.demo1.UserBean">
        <id column="user_id" jdbcType="INTEGER" property="userId" />
        <result column="name" jdbcType="VARCHAR" property="name" />
        <result column="sex" jdbcType="VARCHAR" property="sex" />
        <result column="age" jdbcType="INTEGER" property="age" />
    </resultMap>

    <select id="getUsers" resultMap="RESULT_MAP">
        select `user_id`, `name`, `sex`, `age`
        from `user`
        where ${column}=#{value}
    </select>

</mapper>

(4)实体 JavaBean UserBean 定义如下:

package com.hxstrive.mybatis.parameter.demo1;

public class UserBean {
   private Integer userId;
   private String name;
   private String sex;
   private Integer age;

   // 忽略 getter 和 setter

   @Override
   public String toString() {
      return "UserBean{" +
            "userId=" + userId +
            ", name='" + name + '\'' +
            ", sex='" + sex + '\'' +
            ", age=" + age +
            '}';
   }
}

(5)客户端,代码如下:

package com.hxstrive.mybatis.parameter.demo1;

import org.apache.ibatis.io.Resources;
import org.apache.ibatis.session.SqlSession;
import org.apache.ibatis.session.SqlSessionFactory;
import org.apache.ibatis.session.SqlSessionFactoryBuilder;

import java.io.InputStream;
import java.util.List;

public class ParameterDemo1 {

    public static void main(String[] args) throws Exception {
        String cfgName = "com/hxstrive/mybatis/parameter/demo1/mybatis-cfg.xml";
        InputStream input = Resources.getResourceAsStream(cfgName);
        SqlSessionFactoryBuilder factoryBuilder = new SqlSessionFactoryBuilder();
        SqlSessionFactory sqlFactory = factoryBuilder.build(input);
        SqlSession sqlSession = sqlFactory.openSession(true);
        UserMapper userMapper = sqlSession.getMapper(UserMapper.class);

        // 查找 age 为 28 的用户
        List<UserBean> userBeanList = userMapper.getUsers("age", "28");
        for(UserBean userBean : userBeanList) {
            System.out.println(userBean);
        }
    }

}

运行结果:

UserBean{userId=1, name='ZhangSan', sex='男', age=28}
UserBean{userId=3, name='赵六', sex='男', age=28}
说说我的看法
全部评论(
没有评论
关于
本网站专注于 Java、数据库(MySQL、Oracle)、Linux、软件架构及大数据等多领域技术知识分享。涵盖丰富的原创与精选技术文章,助力技术传播与交流。无论是技术新手渴望入门,还是资深开发者寻求进阶,这里都能为您提供深度见解与实用经验,让复杂编码变得轻松易懂,携手共赴技术提升新高度。如有侵权,请来信告知:hxstrive@outlook.com
公众号