myBatis3之SQL映射的XML文件(Parameters)
----------
在之前的语句中,你已经看到了一些简单参数的示例。在MyBatis中参数是非常强大的元素。对于简单的做法,大概90%的情况,是不用太多的,比如:
<select id="selectUsers" parameterType="int" resultType="User">
select id, username, password
from users
where id = #{id}
</select>
上面的这个示例说明了一个非常简单的命名参数映射。参数类型被设置为"int",因此这个参数可以被设置成任何内容。原生的类型或简单数据类型,比如整型和没有相关属性的字符串,因此它会完全用参数来替代。然而,如果你传递了一个复杂的对象,那么MyBatis的处理方式就会有一点不同。比如:
<insert id="insertUser" parameterType="User">
insert into users (id, username, password)
values (#{id}, #{username}, #{password})
</insert>
如果User类型的参数对象传递到了语句中,id,username和password属性将会被查找,然后它们的值就被传递到预处理
语句的参数中。这点对于传递参数到语句中非常好。但是对于参数映射也有一些其他的特性。 首先,参数可以指定一个确定的数据类型。如:
#{property,javaType=int,jdbcType=NUMERIC}
javaType被确定来保证使用正确类型处理器。如果null被当作值来传递,对于所有可能为空的列,JDBC Type是需要的。为了自定义类型处理器,你可以指定一个确定的类型处理器类(或别名),比如:
#{age,javaType=int,jdbcType=NUMERIC,typeHandler=MyTypeHandler}
尽管它看起来繁琐,但是实际上是你很少设置它们其中之一。 对于数值类型,对于决定有多少数字是相关的,有一个数值范围。
#{height,javaType=double,jdbcType=NUMERIC,numericScale=2}
尽管所有这些强大的选项很多时候你只简单指定属性名,MyBatis会自己计算剩余的。最多的情况是你为jdbcType指定可能为空的列名。
#{firstName}
#{middleInitial,jdbcType=VARCHAR}
#{lastName}
字符串替换
默认情况下,使用#{}格式的语法会导致MyBatis创建预处理语句属性并以它为背景设置安全的值(比如?)。这样做很安全,很迅速也是首选做法,有时你只是想直接在SQL语句中插入一个不改变的字符串。比如,像ORDER BY,你可以这样来使用:
ORDER BY ${columnName}
这里MyBatis不会修改或转义字符串。重要:接受从用户输出的内容并提供给语句中不变的字符串,这样做是不安全的。这会导致潜在的SQL注入攻击,因此你不应该允许用户输入这些字段,或者通常自行转义并检查。
分享到:
相关推荐
mybatis动态sql:SQL 映射 XML 文件是所有 sql 语句放置的地方。需要定义一个 workspace,一般定义为对应的接口类的路径。写好 SQL 语句映射文件后需要在 MyBAtis 配置文件 mappers 标签中引用。
详解MyBatis框架中SQL映射文件的具体配置,包括实现增删改查操作、根据主键生成方式获取主键值、针对单个参数、多个参数和命名参数的处理与参数值获取以及select标签中resultMap的详解
mybatis – MyBatis 3 _ XML 映射器.html
MyBatis 真正的强大在于映射语句,专注于SQL,功能强大,SQL映射的配置却是相当简单 SQL映射文件的几个顶级元素(按照定义的顺序) 1.mapper - namespace 2.cache - 配置给定命名空间的缓存 3.cache-ref – 从其他...
jar包,maven项目中,使用mybatis和mysql,自动根据数据库表生成xml文件和映射类...
关于MyBatis找不到映射文件的问题的解决方法
springboot+mybatis(mybatis dao与xml文件自动生成)
springboot+mybaits框架经常需要配置xml文件和生成实体类,用mybatis官方给出的逆向工程生成的xml映射文件和我用的mcms框架不一致,每次都需要修改。所以就需要一种一键导出实体类和xml文件的工具。
mybatis之动态SQL
只需要在springboot的配置文件做简单的配置,mybatis拦截器将SQL中所有参数自动做了填充。拦截器监控慢SQL并将完整的可执行的SQL语句打印在日志文件中,复制该SQL语句即可在数据库工具中执行。 使用方法: 找到你...
mybatis自动生成dao pojo xml文件工具(SQL server)
MyBatis动态拼接SQL
mybatis如何防止SQL注入
springboot整合mybatis,自动生成mapper.xml文件以及dao和model
mybatis中,sqlserver分页
myBatis xml提示文件 myBatis xml提示文件 myBatis xml提示文件
解压文件夹,ideal导入mybatis-log-plugin.jar 把 mybatis 输出的sql日志还原成完整的sql语句。 将日志输出的sql语句中的问号 ?... 前提条件:输出的sql日志必须包含"Preparing:"和"Parameters:"才能正常解析。
MyBatis一对多映射实例,代码完整,可运行
mybatis 生成mysql对应映射文件
1. MyBatis配置文件 包括MyBatis全局配置文件和MyBatis映射文件 其中全局配置文件配置了数据源 事务等信息 映射文件配置了SQL执行相关的信息 2. MyBatis通过读取配置文件 构造出SqlSessionFactory 即会话工厂 3. ...