MyBatis Xml映射文件之字符串替换方式

更新时间：2021年11月26日 10:48:00 作者：yaoshengting

这篇文章主要介绍了MyBatis Xml映射文件之字符串替换方式，具有很好的参考价值，希望对大家有所帮助。如有错误或未考虑完全的地方，望不吝赐教

MyBatis Xml映射文件字符串替换

字符串替换

默认情况下，使用 #{} 格式的语法会导致 MyBatis 创建 PreparedStatement 参数占位符并安全地设置参数（就像使用 ? 一样）。这样做更安全，更迅速，通常也是首选做法，不过有时你就是想直接在 SQL 语句中插入一个不转义的字符串。

比如，像 ORDER BY，你可以这样来使用：

ORDER BY ${columnName}

这里 MyBatis 不会修改或转义字符串。

当 SQL 语句中的元数据（如表名或列名）是动态生成的时候，字符串替换将会非常有用。

举个例子

如果你想通过任何一列从表中 select 数据时，不需要像下面这样写：

@Select("select * from user where id = #{id}")
User findById(@Param("id") long id);
 
@Select("select * from user where name = #{name}")
User findByName(@Param("name") String name);
 
@Select("select * from user where email = #{email}")
User findByEmail(@Param("email") String email); 
// and more "findByXxx" method

可以只写这样一个方法：

@Select("select * from user where ${column} = #{value}")
User findByColumn(@Param("column") String column, @Param("value") String value);

其中 ${column} 会被直接替换，而 #{value} 会被使用 ? 预处理。因此你就可以像下面这样来达到上述功能：

User userOfId1 = userMapper.findByColumn("id", 1L);
User userOfNameKid = userMapper.findByColumn("name", "kid");
User userOfEmail = userMapper.findByColumn("email", noone@nowhere.com);

这个想法也同样适用于用来替换表名的情况。

提示：用这种方式接受用户的输入，并将其用于语句中的参数是不安全的，会导致潜在的 SQL 注入攻击，因此要么不允许用户输入这些字段，要么自行转义并检验。

Mybatis中字符串替换问题

默认情况下,使用#{}格式的语法会导致MyBatis创建预处理语句属性并以它为背景设置安全的值（比如?）。这样做很安全，很迅速也是首选做法!

有时只想直接在SQL语句中插入一个不改变的字符串.比如,像ORDER BY,你可以这样来使用：ORDER BY ${column}

这里MyBatis不会修改或转义字符串。

重要：接受从用户输出的内容并提供给语句中不变的字符串，这样做是不安全的。这会导致潜在的SQL注入攻击，因此你不应该允许用户输入这些字段，或者通常自行转义并检查！

错误方式：

ORDER BY fupdated ${sort, jdbcType=VARCHAR}, fcreated ${sort, jdbcType=VARCHAR}

正确方式：

ORDER BY fupdated ${sort}, fcreated ${sort}

前提条件：请对sort进行必要验证，防止sql攻击问题！

以上为个人经验，希望能给大家一个参考，也希望大家多多支持脚本之家。

您可能感兴趣的文章:

SpringMVC Mybatis配置多个数据源并切换代码详解
这篇文章主要介绍了SpringMVC Mybatis配置多个数据源并切换代码详解,文中通过示例代码介绍的非常详细，对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
2019-11-11
java学生信息管理系统设计与实现
这篇文章主要为大家详细介绍了java学生信息管理系统设计与实现，具有一定的参考价值，感兴趣的小伙伴们可以参考一下
2018-01-01
SpringBoot整合EasyExcel进行大数据处理的方法详解
EasyExcel是一个基于Java的简单、省内存的读写Excel的开源项目。在尽可能节约内存的情况下支持读写百M的Excel。本文将在SpringBoot中整合EasyExcel进行大数据处理，感兴趣的可以了解一下
2022-05-05
java 生成文字图片的示例代码
本篇文章主要介绍了java 生成文字图片的示例代码，小编觉得挺不错的，现在分享给大家，也给大家做个参考。一起跟随小编过来看看吧
2017-08-08
Spring Boot应用中如何动态指定数据库实现不同用户不同数据库的问题
让我们创建一个 Spring Boot 项目首先设置一个具有必要依赖项的新 Spring Boot项目，在项目配置中包括 Spring Web、Spring Data JPA 和关于数据库的依赖项，接下来介绍Spring Boot应用中如何动态指定数据库，实现不同用户不同数据库的场景 ,需要的朋友可以参考下
2024-04-04
详解如何将JAR包发布到Maven中央仓库
这篇文章主要介绍了详解如何将JAR包发布到Maven中央仓库，小编觉得挺不错的，现在分享给大家，也给大家做个参考。一起跟随小编过来看看吧
2019-01-01
Mockito mock Kotlin Object类方法报错解决方法
这篇文章主要介绍了Mockito mock Kotlin Object类方法报错解决方法,本篇文章通过简要的案例,讲解了该项技术的了解与使用,以下就是详细内容,需要的朋友可以参考下
2021-09-09
Java中Mybatis,SpringMVC,Spring的介绍及联系
这篇文章主要为大家详细介绍了Java中Mybatis,SpringMVC,Spring的介绍及联系，具有一定的参考价值，感兴趣的小伙伴们可以参考一下
2021-10-10
Spring AOP的概念与实现过程详解
AOP为Aspect Oriented Programming的缩写，意为：面向切面编程，可通过运行期动态代理实现程序功能的统一维护的一种技术。AOP是 Spring框架中的一个重要内容
2023-02-02
Java Elastic-Job分布式定时任务使用方法介绍
xxl-job 通过一个中心式的调度平台，调度多个执行器执行任务，调度中心通过 DB 锁保证集群分布式调度的一致性，这样扩展执行器会增大 DB 的压力，然而大部分公司的任务数，执行器并不多；xxl-job 提供了非常好用的监控页面甚至还有任务失败的邮件告警功能
2023-01-01