Mybatis是如何进行分页的?分页插件的原理是什么?
Mybatis是如何进行分页的?
Mybatis使用RowBounds对象进行分页,它是针对ResultSet结果集执行的内存分页,而非物理分页,可以在sql内直接拼写带有物理分页的参数来完成物理分页功能,也可以使用分页插件来完成物理分页,比如:MySQL数据的时候,在原有SQL后面拼写limit。 使用 RowBounds 进行分页,非常方便,不需要在 sql 语句中写 limit,即可完成分页功能。但是由于它是在 sql 查询出所有结果的基础上截取数据的,所以在数据量大的sql中并不适用,它更适合在返回数据结果较少的查询中使用
物理分页依赖的是某一物理实体,这个物理实体就是数据库,比如MySQL数据库提供了limit关键字,程序员只需要编写带有limit关键字的SQL语句,数据库返回的就是分页结果。
逻辑分页(内存分页)依赖的是程序员编写的代码。数据库返回的不是分页结果,而是全部数据,然后再由程序员通过代码获取分页数据,常用的操作是一次性从数据库中查询出全部数据并存储到List集合中,因为List集合有序,再根据索引获取指定范围的数据。
举个例子
@Mapper public interface BookMapper { //添加数据 int insert(Book book); //模糊查询 List<Book> selectBookByName(Map<String, Object> map, RowBounds rowBounds); }
<select id="selectBookByName" resultMap="BaseResultMap"> <bind name="pattern_bookName" value="'%' + bookName + '%'" /> <bind name="pattern_bookAuthor" value="'%' + bookAuthor + '%'" /> select * from book where 1 = 1 <if test="bookName != null and bookName !=''"> and book_name LIKE #{pattern_bookName} </if> <if test="bookAuthor != null and bookAuthor !=''"> and book_author LIKE #{pattern_bookAuthor} </if> </select>
public List<Book> selectBookByName(String pageNo,String pageSize) { //map是在service封装成的Map<String, Object> map,用来作为查询条件的,这里没有写出来 List<Book> list = bookMapper.selectBookByName(map, new RowBounds((pageNo-1)*pageSize, pageSize)); return list; }
@RequestMapping("/selectBookByName") @ResponseBody public Page selectBookByName(String pageNo,String pageSize,HttpServletRequest request,HttpServletResponse response){ pageNo=pageNo==null?"1":pageNo; //当前页码 pageSize=pageSize==null?"5":pageSize; //页面大小 //获取当前页数据 List<Book> list = bookService.selectBookByName(pageNo,pageSize); //获取总数据大小 //int totals = bookService.getAllBook(); //封装返回结果 Page page = new Page(); page.setTotal(totals+""); page.setRows(list); return page; }
分页插件的原理是什么?
分页插件的基本原理是使用Mybatis提供的插件接口,实现自定义插件,在插件的拦截方法内拦截待执行的sql,然后重写sql,根据dialect方言,添加对应的物理分页语句和物理分页参数(注意这里是分页插件的原理不是Mybatis的分页原理)
举例:select * from student
拦截sql后重写为:select t.* from (select * from student)t limit 0,10
dialect方言
抛开数据库,生活中的方言是什么?方言就是某个地方的特色语言,是一种区别于其它地方的语言,只有你们这一小块地方能听懂,出了这个地方又是另一种方言。
数据库方言也是如此,MySQL 是一种方言,Oracle 也是一种方言,MSSQL 也是一种方言,他们之间在遵循 SQL 规范的前提下,都有各自的扩展特性。
拿分页来说,MySQL 的分页是用关键字 limit, 而 Oracle 用的是 ROWNUM,MSSQL 可能又是另一种分页方式。
# mysql select * from t_user limit 10; # oracle select * from t_user t where ROWNUM <10;
这对于 ORM 框架来说,为了在上层的ORM层做了无差别调用,比如分页,对使用者来说,不管你底层用的是MySQL还是Oracle,他们用的都是一样的接口,但是底层需要根据你使用的数据库方言不同而调用不同的DBAPI。用户只需要在初始化的时候指定用哪种方言就好,其它的事情ORM框架帮你完成了
Mybatis是如何将sql执行结果封装为目标对象并返回的?都有哪些映射方式?
1、都有哪些映射方式?
(1)当列名和封装查询结果的类的属性名一一对应时,这时MyBatis 有自动映射功能,将查询的记录封装到resultType 指定的类的对象中去
<mapper namespace="com.hanT.dao.UserDao"> <!--id对应接口中的方法名,resultType为返回结果的类型,要用类的全限定名--> <select id="getUserList" resultType="com.hanT.pojo.User"> select * from mybatis.user </select> </mapper>
(2)当列名和封装查询结果的类的属性名不对应时
- 使用resultMap 标签,在标签中配置属性名和列名的映射关系
- 使用sql 列的别名功能,将列的别名书写为对象属性名,也可以做到映射关系
<resultMap type="cn.com.mybatis.pojo.User" id="UserResult"> <result property="username" column="name"/> </resultMap> <select id="findUserById" parameterType="java.lang.Long" resultMap="UserResult"> select id,name,email from t_user where id=#{id} </select>
2、Mybatis是如何将sql执行结果封装为目标对象并返回的?
有了列名与属性名的映射关系后,Mybatis 通过反射创建对象(resultType有类的全路径),同时使用反射给对象的属性逐一赋值并返回, 那些找不到映射关系的属性,是无法完成赋值的。
Xml映射文件中,除了常见的select|insert|updae|delete 标签之外,还有哪些标签?
总的来说
<resultMap>、<sql>、<include>、<selectKey> ,加上动态 sql 的 9 个标签,其中 <sql> 为 sql 片段标签,通过<include> 标签引入 sql 片段, <selectKey> 为不支持自增的主键生成策略标签。
详细内容
- <resultMap/>标签,是最复杂也是最强大的元素,用来描述如何从数据库结果集中来加载对象。
- <sql/>标签,可被其他语句引用的可重用语句块。
- <include/>标签,引用标签的语句。
- <selectKey/>标签,不支持自增的主键生成策略标签。
九个动态SQL标签
<if/>、<choose/>、<when/>、<otherwise/>、<trim/>、<where/>、<set/>
<foreach/>、<bind/>
九个动态SQL标签详解:https://www.jb51.net/article/231807.htm
MyBatis实现一对一有几种方式?具体怎么操作的?
有联合查询和嵌套查询
联合查询是几个表联合查询,只查询一次,通过在 resultMap里面配置 association 节点配置一对一的类就可以完成;
嵌套查询是先查一个表,根据这个表里面的结果的外键id,去再另外一个表里面查询数据,也是通过 association 配置,但另外一个表的查询通过 select 属性配置
联合查询的具体举例
<?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE mapper PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN" "http://mybatis.org/dtd/mybatis-3-mapper.dtd"> <mapper namespace="com.jourwon.mybatis.mapper.ClassesMapper"> <!-- 一对一关联查询 --> <select id="listClasses" parameterType="int" resultMap="ClassesResultMap"> select * from classes c,teacher t where c.teacher_id=t.t_id and c.c_id=#{id} </select> <resultMap type="com.jourwon.mybatis.pojo.Classes" id="ClassesResultMap"> <!-- 实体类的字段名和数据表的字段名映射 --> <id property="id" column="c_id"/> <result property="name" column="c_name"/> <association property="teacher" javaType="com.jourwon.mybatis.pojo.Teacher"> <id property="id" column="t_id"/> <result property="name" column="t_name"/> </association> </resultMap> <!-- 一对多关联查询 --> <select id="listClasses2" parameterType="int" resultMap="ClassesResultMap2"> select * from classes c,teacher t,student s where c.teacher_id=t.t_id and c.c_id=s.class_id and c.c_id=#{id} </select> <resultMap type="com.jourwon.mybatis.pojo.Classes" id="ClassesResultMap2"> <id property="id" column="c_id"/> <result property="name" column="c_name"/> <association property="teacher" javaType="com.jourwon.mybatis.pojo.Teacher"> <id property="id" column="t_id"/> <result property="name" column="t_name"/> </association> <collection property="studentList" ofType="com.jourwon.mybatis.pojo.Student"> <id property="id" column="s_id"/> <result property="name" column="s_name"/> </collection> </resultMap> </mapper>
嵌套查询的具体举例
需求:查询一个订单,与此同时查询出该订单所属的用户
-- 先查询订单
Select * from orders;
-- 再根据订单oid外键,查询用户
select * from user where id = #{根据订单查询的oid}
用Mybatis来实现
// 1.查询所有的订单,与此同时还要查出每个订单所属的用户信息 List<Orders> findAllWithUser1(); <!--1.1 orderMap映射--> <resultMap id="orderMap1" type="orders"> <id column="id" property="id"></id> <result column="ordertime" property="ordertime"></result> <result column="total" property="total"></result> <result column="oid" property="oid"></result> <association property="user" javaType="user" column="oid" select="cn.guardwhy.dao.UserMapper.findById"/> </resultMap> <!--1.2 一对一嵌套查询--> <select id="findAllWithUser1" resultMap="orderMap1"> select * from orders </select>
解析:<association> 标签用来实现一对一映射,也就是嵌套 Select 查询:通过执行另外一个 SQL 映射语句来加载期望的复杂类型。简单来说就是把上面原本的两句sql在mybatis中通过这个标签连接起来,其中select属性是嵌套调用UserMapper接口的findById方法来查询,这个方法的参数id从column属性中拿,相当于select * from user where id = #{oid}这句sql
// 根据ID查询用户
User findById(Integer id);
<!--1.1映射主键--> <resultMap id="userMap1" type="user"> <id column="id" property="id"></id> <result column="user_name" property="username"></result> <result column="birthday" property="birthday"></result> <result column="sex" property="sex"></result> <result column="address" property="address"></result> </resultMap> <!--1.2 根据id查询用户--> <select id="findById" resultMap="userMap1"> select * from user where id = #{oid} </select>
@Test public void testOrderWithUser(){ // 1.通过工具类得到会话对象 SqlSession sqlSession = MybatisUtils.getSession(); // 2.会话对象的得到mapper接口代理对象 OrderMapper mapper = sqlSession.getMapper(OrderMapper.class); // 3.调用方法 List<Orders> orders = mapper.findAllWithUser1(); // 4.遍历操作 for (Orders order : orders) { System.out.println(order); } }
说说Mybatis的缓存机制
MyBatis包含一个非常强大的查询缓存特性,它可以非常方便地定制和配置缓存。缓存可以极大的 提升查询效率。 MyBatis系统中默认定义了两级缓存:一级缓存和二级缓存 默认情况下,只有一级缓存开启。(SqlSession级别的缓存,也称为本地缓存) 二级缓存需要手动开启和配置,他是基于namespace级别的缓存。 为了提高扩展性,MyBatis定义了缓存接口Cache。我们可以通过实现Cache接口来自定义二 级缓存
一级缓存localCache
一级缓存也叫本地缓存(SqlSession级别的缓存): 与数据库同一次会话期间查询到的数据会放在本地缓存中。 以后如果需要获取相同的数据,直接从缓存中拿,没必须再去查询数据库
详细过程
每个 SqlSession 中持有了 Executor,每个 Executor 中有一个 LocalCache。当用户发起查询时,在 Local Cache 进行查询,如果缓存命中的话,直接返回结果给用户,如果缓存没有命中的话,查询数据库,结果写入 Local Cache,最后返回结果给用户。
一级缓存的特点
MyBatis 一级缓存的生命周期和 SqlSession 一致。
MyBatis 一级缓存内部设计简单,只是一个没有容量限定的 HashMap,在缓存的功能性上有所欠缺。
insert、update、delete(也就是下面的DML操作)语句会刷新缓存(刷新缓存就是更新缓存的数据为最新的数据库数据)
一级缓存默认开启,只在一次sqlsession中有效,也就是拿到连接的一个过程中有效
注意事项
一级缓存,在进行DML操作后,会使得缓存失效,也就是说Mybatis知道我们对数据库里面的数据进行了修改,所以之前缓存的内容可能就不是当前数据库里面最新的内容了。
还有一种情况就是,当前会话结束后,也会清理全部的缓存,因为已经不会再用到了。
注意:一个会话DML操作只会重置当前会话的缓存,不会重置其他会话的缓存,也就是说,其他会话缓存是不会更新的!一级缓存只针对于单个会话,多个会话之间不相通。
二级缓存
一级缓存给我们提供了很高速的访问效率,但是它的作用范围实在是有限,如果一个会话结束,那么之前的缓存就全部失效了,但是我们希望缓存能够扩展到所有会话都能使用,因此我们可以通过二级缓存来实现,二级缓存默认是关闭状态,要开启二级缓存,我们需要在映射器XML文件中添加
<cache eviction="FIFO" flushInterval="60000" size="512" readOnly="true"/>
二级缓存是基于namespace级别(Mapper级别)的缓存,一个名称空间,对应一个二级缓存,不同的mapper查出的数据会放在自己对应的缓存(map)中,也就是说,当一个会话结束时,它的缓存依然会存在于二级缓存中,因此如果我们再次创建一个新的会话会直接使用之前的缓存。当第一个对话没有结束时,它的一级缓存就不会写入二级缓存中,也就是说,此时第二次对话就无法访问到之前的缓存
开启二级缓存后,会使用 CachingExecutor 装饰 Executor,进入一级缓存的查询流程前,先在 CachingExecutor 进行二级缓存的查询,具体的工作流程如下所示。
详细过程
一个会话查询一条数据,这个数据就会被放在当前会话的一级缓存中,如果当前会话关闭了,这个会话对应的一级缓存就没了,一级缓存中的数据会被保存到二级缓存中,新创建的会话就可以从二级缓存中获取内容,不同的mapper查出的数据会放在自己对应的缓存(map)中(也就是一个Mapper.xml文件对应一个二级缓存,也对应这个上面的一个namespace)
当开启缓存后,数据的查询执行的流程为: 二级缓存 -> 一级缓存 -> 数据库
注意事项
1. MyBatis 的二级缓存相对于一级缓存来说,实现了 SqlSession 之间缓存数据的共享,同时粒度 更加细,能够到 namespace 级别,通过 Cache 接口实现类不同的组合,对 Cache 的可控性 也更强。
2. MyBatis 在多表查询时,极大可能会出现脏数据
3. 由于默认的 MyBatis Cache 实现都是基于本地的,分布式环境下必然会出现 读取到脏数据,需要使用 Redis、Memcached 等分布式缓存
JDBC 编程有哪些步骤?
1、加载数据库驱动
Class.forName("com.mysql.jdbc.Driver");
2、通过驱动管理类获取数据库连接
成功加载后,会将Driver类的实例注册到DriverManager类中,而DriverManager就是驱动管理类。
Connection c = DriverManager.getConnection("jdbc:mysql://127.0.0.1:3306/test?characterEncoding=UTF-8", "root", "123456");
3、定义SQL语句,并用?表示占位符
String sql = "select * from user where username = ?";
4、获取预编译对象statement
PreparedStatement preparedStatement = connection.prepareStatement(sql);
5、设置参数
设置参数,第一个参数为sql语句中参数的序号(从1开始),第二个参数为设置的参数值
preparedStatement.setString(1, "tom");
6、执行SQL
向数据库发出sql执行查询,查询出结果集
ResultSet resultSet = preparedStatement.executeQuery();
7、处理结果集
// 遍历查询结果集 while (resultSet.next()) { int id = resultSet.getInt("id"); String username = resultSet.getString("username"); // 封装User user.setId(id); user.setUsername(username); System.out.println(user); }
8、关闭连接
public static void main(String[] args) { Connection connection = null; PreparedStatement preparedStatement = null; ResultSet resultSet = null; try { // 加载数据库驱动 Class.forName("com.mysql.jdbc.Driver"); // 通过驱动管理类获取数据库链接 connection = DriverManager.getConnection("jdbc:mysql://localhost:3306/mybatis? characterEncoding=utf-8", "root", "root"); // 定义sql语句?表示占位符 String sql = "select * from user where username = ?"; // 获取预处理statement preparedStatement = connection.prepareStatement(sql); // 设置参数,第一个参数为sql语句中参数的序号(从1开始),第二个参数为设置的参数值 preparedStatement.setString(1, "tom"); // 向数据库发出sql执行查询,查询出结果集 resultSet = preparedStatement.executeQuery(); // 遍历查询结果集 while (resultSet.next()) { int id = resultSet.getInt("id"); String username = resultSet.getString("username"); // 封装User user.setId(id); user.setUsername(username); System.out.println(user); } } catch (Exception e) { e.printStackTrace(); } finally { // 释放资源 if (resultSet != null) { try { resultSet.close(); } catch (SQLException e) { e.printStackTrace(); } } if (preparedStatement != null) { try { preparedStatement.close(); } catch (SQLException e) { e.printStackTrace(); } } if (connection != null) { try { connection.close(); } catch (SQLException e) { e.printStackTrace(); } } } }
MyBatis 中见过什么设计模式?
Mybatis至少遇到了以下的设计模式的使用
1.建造者模式,例如SqlSessionFactoryBuilder、XMLConfigBuilder、XMLMapperBuilder、XMLStatementBuilder、CacheBuilder;
2.工厂模式,例如SqlSessionFactory、ObjectFactory、MapperProxyFactory;
3.代理模式,Mybatis实现的核心,比如MapperProxy、ConnectionLogger,用的jdk的动态代理;还有executor.loader包使用了cglib或者javassist达到延迟加载的效果;
4.模板方法模式,例如BaseExecutor和SimpleExecutor,还有BaseTypeHandler和所有的子类例如IntegerTypeHandler;
5.适配器模式,例如Log的Mybatis接口和它对jdbc、log4j等各种日志框架的适配实现;
6.装饰者模式,例如Cache包中的cache.decorators子包中等各个装饰者的实现;
7.迭代器模式,例如迭代器模式PropertyTokenizer;
MyBatis 中比如 UserMapper.java 是接口,为什么没有实现类还能调用?
当我们调用UserMpper接口的任意方法时候,Mybatis会通过JDK动态代理生成一个动态代理对象(类型是$Proxy+数字,例如$Proxy6@2355),这个代理类会继承Proxy类(怕 g 喜),实现被代理的接口UserMapper,并且里面持有一个MapperProxy类型的触发管理类。当动态代理对象调用方法的时候会关联到一个InvocationHandler对象上,并且调用这个InvocationHandler对象,这里的这个InvocationHandler对象其实就是MapperProxy对象,然后调用MapperProxy的invoke方法(这个方法通常是用来执行某个目标对象的目标方法,但是这里的这个接口是没有实现类的,所以调用接口方法实质上调用的是MapperProxy的invoke方法),然后根据接口和方法名找到对应的映射文件(也就是UserMpper.xml)的对应方法的sql,最后执行sql即可。
public class MapperProxyFactory<T> { private final Class<T> mapperInterface; private final Map<Method, MapperMethod> methodCache = new ConcurrentHashMap<>(); public MapperProxyFactory(Class<T> mapperInterface) { this.mapperInterface = mapperInterface; } //核心代码 public T newInstance(SqlSession sqlSession) { //创建MapperProxy对象 final MapperProxy<T> mapperProxy = new MapperProxy<>(sqlSession, mapperInterface, methodCache); return newInstance(mapperProxy); } //最终以JDK动态代理创建对象并返回 protected T newInstance(MapperProxy<T> mapperProxy) { return (T) Proxy.newProxyInstance(mapperInterface.getClassLoader(), new Class[] { mapperInterface }, mapperProxy); } }
第一个newInstance方法是创建一个MapperProxy对象,这里注意MapperProxy对象不是JDK动态代理对象,第二个newInstance方法把这个MapperProxy对象对象作为第三个参数来创建JDK动态代理对象,这里面持有一个MapperProxy类型的触发管理类,可以理解为JDK动态代理对象里包含着MapperProxy对象,
//UserMapper 的类加载器 //接口是UserMapper //h是mapperProxy对象 public static Object newProxyInstance(ClassLoader loader, Class<?>[] interfaces, InvocationHandler h){ }
h:一个InvocationHandler对象,表示的是当动态代理对象调用方法的时候会关联到哪一个InvocationHandler对象上,并最终由其调用,这里的h就是就是mapperProxy对象
mybatis sql语句里写 #和$区别?
mybatis sql语句里写 #和$区别?
#{}是预编译处理,是占位符,${}是字符串替换,是拼接符
Mybatis在处理#{}的时候会将sql中的#{}替换成?号,调用PreparedStatement来赋值,Mybatis在处理${}的时候就是把${}替换成变量的值,调用Statement来赋值
使用 #{} 可以有效的防止SQL注入,但是使用${}不可以防止SQL注入。
什么是SQL注入
SQL 注入就是在用户输入的字符串中加入 SQL 语句,如果在设计不良的程序中忽略了检查,那么这些注入进去的 SQL 语句就会被数据库服务器误认为是正常的 SQL 语句而运行,攻击者就可以执行额外的命令或访问未被授权的数据。
举个例子
我们有一个简单的查询操作:根据id查询一个用户信息。
它的sql语句应该是这样:select * from user where id = 。
我们根据传入条件填入id进行查询。
如果正常操作,传入一个正常的id,比如说2,那么这条语句变成
select * from user where id =2。
这条语句是可以正常运行并且符合我们预期的。
但是如果传入的参数变成'' or 1=1,这时这条语句变成select * from user where id = '' or 1=1。
它会将我们用户表中所有的数据查询出来,显然这是一个大的错误。这就是SQL注入。
也就是可以恶意的拼接sql语句来达到查询所有的数据的目的
#{} 方式
#{}: 解析为SQL时,会将形参变量的值取出,并自动给其添加双引号。 例如:当实参username="Amy"时,传入下Mapper映射文件后
<select id="findByName" parameterType="String" resultMap="studentResultMap">
SELECT * FROM user WHERE username=#{value}
</select>
SQL将解析为:
SELECT * FROM user WHERE username="Amy"
${} 方式
${}: 解析为SQL时,将形参变量的值直接取出,直接拼接显示在SQL中
例如:当实参username="Amy"时,传入下Mapper映射文件后
<select id="findByName" parameterType="String" resultMap="studentResultMap">
SELECT * FROM user WHERE username=${value}
</select>
SQL将解析如下:
SELECT * FROM user WHERE username=Amy
mybaits怎么防止SQL注入?
这个问题其实就是问#{}是能够防止sql注入是什么原理?
#{}方式是先用占位符代替参数(sql中的#{}替换为?号)将SQL语句先进行预编译,最后再将参数中的内容替换进来。由于SQL语句已经被预编译过,其SQL注入将无法通过非法的参数内容实现更改其参数中的内容,无法变为SQL命令的一部分,故#{}可以防止SQL注入。${}之所以不能防止SQL注入是因为它是直接把那个传入的值拼接在sql语句后面,这个时候如果恶意拼装sql就可以实现sql注入。
说白了就是#{}会把sql语句中的参数部分用?代替进行预编译(这个时候由于没有具体的参数所以叫预编译),最后把参数替换那个问号进行真正的sql操作,然后这个时候sql语句就已经固定了,所以你后面传的参数哪怕恶意拼装成了一个sql样式也没用,因为sql已经固定了,你传的任何参数在它眼里只是一个字符串,而不会当做一个sql语句去执行
更加底层的讲解
MyBatis防止SQL注入的原理:MyBatis在处理#{}时,会将sql中的#{}替换为?号,调用PreparedStatement的set方法来赋值 ,PreparedStatement在执行阶段只是把输入串作为数据处理,不再对sql语句进行解析,准备,因此也就避免了sql注入问题。
PreparedStatement防止SQL注入的原理:JDBC的PreparedStatement会将带'?'占位符的sql语句预先编译好,也就是SQL引擎会预先进行语法分析,产生语法树,生成执行计划。对于占位符输入的参数,无论是什么,都不会影响该SQL语句的语法结构了,因为语法分析已经完成了,即使你后面输入了这些sql命令,也不会被当成sql命令来执行了,只会被当做字符串字面值参数。所以的sql语句预编译可以防御SQL注入。而且在多次执行同一个SQL时,能够提高效率。原因是SQL已编译好,再次执行时无需再编译。
Mybatis框架下易产生SQL注入漏洞的情况?
1、模糊查询
Select * from news where title like ‘%#{title}%’
在这种情况下使用#程序会报错,新手程序员就把#号改成了$,这样如果java代码层面没有对用户输入的内容做处理势必会产生SQL注入漏洞。
正确写法:
select * from news where tile like concat(‘%’,#{title}, ‘%’)
2、in 之后的多个参数
in之后多个id查询时使用# 同样会报错
Select * from news where id in (#{ids})
正确用法为使用foreach,而不是将#替换为$
id in <foreach collection="ids" item="item" open="("separatosr="," close=")">#{ids} </foreach>
3、order by 之后
order by后面的条件用不了#{},只能用${}。所以只能在逻辑代码中手动防止sql注入。
不能用#{}是因为#{}会给参数内容自动加上单引号,会在有些需要表示字段名、表名的场景下,SQL将无法正常执行。现举一例说明:
期望查询结果按sex字段升序排列,参数String orderCol = "sex",mapper映射文件使用#{}:
<select id="findAddByName3" parameterType="String" resultMap="studentResultMap">
SELECT * FROM USER WHERE username LIKE '%Am%' ORDER BY #{value} ASC
</select>
则SQL解析及执行结果如下所示,很明显 ORDER 子句的字段名错误的被加上了引号,致使查询结果没有按期排序输出
SELECT * FROM USER WHERE username LIKE '%Am%' ORDER BY 'sex' ASC;
这时,现改为${}测试效果:
<select id="findAddByName3" parameterType="String" resultMap="studentResultMap">
SELECT * FROM USER WHERE username LIKE '%Am%' ORDER BY ${value} ASC
</select>
