🍎五.MyBatis查询操作
UserMapper接口查询用户信息方法:
// 查询方法{根据用户id查询用户} // @Param("username")是mybatis中设置xml文件的SQL中查询username public UserInfo getUserByUsername(@Param("username") String username);
UserMapper.xml 进行SQL查询用户信息语句传输:
这里我们要添加resultType="com.example.demo.model.UserInfo来选择要查询对象目录地址
<!-- 根据用户username 查询用户信息 --> <select id="getUserByUsername" resultType="com.example.demo.model.UserInfo"> select * from userinfo where username=#{username} </select>
单元测试:
@Test void getUserByUsername() { UserInfo userInfo = userMapper.getUserByUsername("admin"); //日志打印 log.info("用户信息:" + userInfo); }
单元测试解结果:
🍒5.1 参数占位符 #{} 和 ${}
🍉5.1.1 #{} 和 ${}代码区别
● #{}:预编译处理
● ${}:字符直接替换
预编译处理是指:
MyBatis 在处理#{}时,会将 SQL 中的 #{} 替换为?号,使⽤ PreparedStatement的 set ⽅法来赋值
直接替换:
是MyBatis 在处理 ${} 时,就是把 ${} 替换成变量的值
#{}查询代码:
${}查询代码:
🍉5.1.2 #{} 和 ${} 区别小结
定义不同: #{}是预处理; ${}是直接处理
使用数据类型不同:#{}适用于所有数据类型; ${}只适用于数值类型
安全性问题:#{}性能高,不会引起数据库安全问题; ${}会引起数据库SQL注入问题
🍒5.2 SQL注入问题(${})
UserMapper接口查询用户信息方法:
// 登陆功能 public UserInfo login(@Param("username") String usernaem,@Param("password")String password);
UserMapper.xml 进行SQL查询用户信息语句传输:
<!-- 根据用户输入username 和 password 信息实现登陆用户 --> <select id="login" resultType="com.example.demo.model.UserInfo"> select * from userinfo where username='${username}' and password='${password}' </select>
单元测试:
当我我们输入正常的用户名和密码时
@Test void login() { String username = "XXX"; String password = "XXX"; // "' or 1 =' 1" SQL注入问题(使用$ 严重危险问题) UserInfo userInfo = userMapper.login(username,password); log.info("用户信息"+userInfo); }
单元测试结果:
单元测试:
当我我们输入带有SQL语句注入的密码时
@Test void login() { String username = "admin"; String password = "' or 1 =' 1"; // "' or 1 =' 1" SQL注入问题(使用$ 严重危险问题) UserInfo userInfo = userMapper.login(username,password); log.info("用户信息"+userInfo); }
单元测试结果:
这个时候就会查询到这个表里所有的用户信息了,这就是${}的SQL注入安全问题
🍒5.3 排序查询 order by(asc丶desc)
我们发现这 个 占 位 符 缺 陷 这 么 大 , 拿 我 们 为 什 么 还 有 设 置 这 个 占 位 符 呢 , 因 为 存 在 并 合 理 , {}这个占位符缺陷这么大,拿我们为什么还有设置这个占位符呢,因为存在并合理,这个占位符缺陷这么大,拿我们为什么还有设置这个占位符呢,因为存在并合理,{}是可以使用SQL语句中的关键字这一功能的
UserMapper接口查询用户信息方法:
// 获取列表,根据创建时间进行正序或倒序 public List<UserInfo> getOrderList(@Param("order") String order);
UserMapper.xml 进行SQL查询用户信息语句传输:
当我们使用#{}占位符进行查询时
<!-- 根据用户createtime信息进行排序 查询用户信息 --> <select id="getOrderList" resultType="com.example.demo.model.UserInfo"> select * from userinfo order by createtime #{order} </select>
单元测试:
@Test void getOrderList() { List<UserInfo> list = userMapper.getOrderList("desc"); log.info("列表"+list); }
单元测试结果:
这时候我们就想到被我们抛弃的${}
🍒5.4 like查询
UserMapper接口查询用户信息方法:
// 模糊查询(like)用户名信息 public List<UserInfo> getListName(@Param("username") String username);
UserMapper.xml 进行SQL查询用户信息语句传输:
<select id="findUserByName2" resultType="com.example.demo.model.UserInFo"> select * from userinfo where username like '%#{username}%' </select>
单元测试:
@Test void login() { String username = "admin"; String password = "admin"; // "' or 1 =' 1" SQL注入问题(使用$ 严重危险问题) UserInfo userInfo = userMapper.login(username,password); log.info("用户信息"+userInfo); }
单元测试结果:
我们会因为不能直接用’%#{username}%'进行模糊查询
🍉5.4.1 解决方法
select * from userinfo where username like '%#{username}%'相当于:
SQL查询select * from userinfo where username like '%'username'%';
这个是不能直接使⽤ ${},可以考虑使⽤ mysql 的内
<!-- 根据用户输入username 模糊信息实现查询用户们信息 --> <select id="getListName" resultType="com.example.demo.model.UserInfo"> select * from userinfo where username like concat ('%',#{username},'%') </select>
🍎六.返回类型:resultType VS 返回字典映射:resultMap
resultMap 使⽤场景:
● 字段名称和程序中的属性名不同的情况,可使⽤ resultMap 配置映射
● ⼀对⼀和⼀对多关系可以使⽤ resultMap 映射并查询数据。
字段名和属性名不同的情况
例如 MySQL表中的 用户名属性叫 username ,而我我们在对象使用的属性名是user
而这时我们就需要在UserMapper.xml中使用resultMap进行修改了
resultType VS resultMap 具体使用:
