mybatis动态调用表名和字段名

本文涉及的产品
公共DNS(含HTTPDNS解析),每月1000万次HTTP解析
全局流量管理 GTM,标准版 1个月
日志服务 SLS,月写入数据量 50GB 1个月
简介:     以后慢慢启用个人博客:http://www.yuanrengu.com/index.php/mybatis1021.html  一直在使用Mybatis这个ORM框架,都是使用mybatis里的一些常用功能。

  

  以后慢慢启用个人博客:http://www.yuanrengu.com/index.php/mybatis1021.html

  一直在使用Mybatis这个ORM框架,都是使用mybatis里的一些常用功能。今天在项目开发中有个业务是需要限制各个用户对某些表里的字段查询以及某些字段是否显示,如某张表的某些字段不让用户查询到。这种情况下,就需要构建sql来动态传入表名、字段名了。现在对解决方法进行下总结,希望对遇到同样问题的伙伴有些帮助。

  动态SQL是mybatis的强大特性之一,mybatis在对sql语句进行预编译之前,会对sql进行动态解析,解析为一个BoundSql对象,也是在此处对动态sql进行处理。下面让我们先来熟悉下mybatis里#{}与${}的用法:

  在动态sql解析过程,#{}与${}的效果是不一样的:

 

#{ } 解析为一个 JDBC 预编译语句(prepared statement)的参数标记符。

  如以下sql语句

select * from user where name = #{name};

  会被解析为:

select * from user where name = ?;

  可以看到#{}被解析为一个参数占位符?。

 

${ } 仅仅为一个纯碎的 string 替换,在动态 SQL 解析阶段将会进行变量替换

  如以下sql语句:

select * from user where name = ${name};

  当我们传递参数“sprite”时,sql会解析为:

select * from user where name = "sprite";

  可以看到预编译之前的sql语句已经不包含变量name了。

综上所得, ${ } 的变量的替换阶段是在动态 SQL 解析阶段,而 #{ }的变量的替换是在 DBMS 中。

 

#{}与${}的区别可以简单总结如下:

  • #{}将传入的参数当成一个字符串,会给传入的参数加一个双引号
  • ${}将传入的参数直接显示生成在sql中,不会添加引号
  • #{}能够很大程度上防止sql注入,${}无法防止sql注入

  ${}在预编译之前已经被变量替换了,这会存在sql注入的风险。如下sql

select * from ${tableName} where name = ${name}

  如果传入的参数tableName为user; delete user; --,那么sql动态解析之后,预编译之前的sql将变为:

select * from user; delete user; -- where name = ?;

  --之后的语句将作为注释不起作用,顿时我和我的小伙伴惊呆了!!!看到没,本来的查询语句,竟然偷偷的包含了一个删除表数据的sql,是删除,删除,删除!!!重要的事情说三遍,可想而知,这个风险是有多大。

  • ${}一般用于传输数据库的表名、字段名等
  • 能用#{}的地方尽量别用${}

  进入正题,通过上面的分析,相信大家可能已经对如何动态调用表名和字段名有些思路了。示例如下:

  <select id="getUser" resultType="java.util.Map" parameterType="java.lang.String" statementType="STATEMENT">
    select 
        ${columns}
    from ${tableName}
        where COMPANY_REMARK = ${company}
  </select>

  要实现动态调用表名和字段名,就不能使用预编译了,需添加statementType="STATEMENT""

statementType:STATEMENT(非预编译),PREPARED(预编译)或CALLABLE中的任意一个,这就告诉 MyBatis 分别使用Statement,PreparedStatement或者CallableStatement。默认:PREPARED。这里显然不能使用预编译,要改成非预编译。

  其次,sql里的变量取值是${xxx},不是#{xxx}。

  因为${}是将传入的参数直接显示生成sql,如${xxx}传入的参数为字符串数据,需在参数传入前加上引号,如:

        String name = "sprite";
        name = "'" + name + "'";

  

  mybatis动态调用表名和字段名,还可以应用于日志的收集上,如数据库的日志表,每隔一个月动态建一个日志表,表名前缀相同(如log_201610,log_201611等),这样实现日志的分月分表存储,方便日志的分析。

  希望对大家有帮助!如有疑问可以在底下留言。

img_e00999465d1c2c1b02df587a3ec9c13d.jpg
微信公众号: 猿人谷
如果您认为阅读这篇博客让您有些收获,不妨点击一下右下角的【推荐】
如果您希望与我交流互动,欢迎关注微信公众号
本文版权归作者和博客园共有,欢迎转载,但未经作者同意必须保留此段声明,且在文章页面明显位置给出原文连接。

相关实践学习
日志服务之使用Nginx模式采集日志
本文介绍如何通过日志服务控制台创建Nginx模式的Logtail配置快速采集Nginx日志并进行多维度分析。
目录
相关文章
|
24天前
|
SQL Java 数据库连接
mybatis如何仅仅查询某个表的几个字段
【10月更文挑战第19天】mybatis如何仅仅查询某个表的几个字段
26 1
|
XML SQL Java
使用MyBatis时,解决表字段和实体类属性不一致问题
使用MyBatis时,解决表字段和实体类属性不一致问题
375 2
使用MyBatis时,解决表字段和实体类属性不一致问题
|
6月前
|
SQL Java 数据库连接
解决Mybatis当实体类中的属性名和表中的字段名不一致的问题
解决Mybatis当实体类中的属性名和表中的字段名不一致的问题
83 0
mybatis-plus动态表名
mybatis-plus动态表名
135 0
|
11月前
|
存储 XML Java
Mybatis使用SelectKey自定义主键
Mybatis使用SelectKey自定义主键
174 0
|
SQL Java 数据库连接
MyBatis 中数据库字段名与 MyBatis 字段名 / 属性名不一致,怎么解决?
MyBatis 中数据库字段名与 MyBatis 字段名 / 属性名不一致,怎么解决?
140 0
|
Java 数据库连接 数据库
MyBatis中解决实体类属性和数据库表的列名不一致的操作
MyBatis中解决实体类属性和数据库表的列名不一致的操作
|
Java 数据库连接 数据库
【Mybatis】常见面试题:字段名和属性名不一致时三种处理方式
【Mybatis】常见面试题:字段名和属性名不一致时三种处理方式
|
SQL Java 关系型数据库
MyBatis处理表字段和实体类属性名不一致的情况及多对一映射关系的处理
MyBatis处理表字段和实体类属性名不一致的情况及多对一映射关系的处理
205 0
|
SQL Java 数据库连接
【Mybatis】Mybatis中特殊SQL的执行,模糊查询,批量删除,动态设置表名,添加功能获取自增的主键
【Mybatis】Mybatis中特殊SQL的执行,模糊查询,批量删除,动态设置表名,添加功能获取自增的主键
101 0