mybatis中的字符串拼接问题

更新时间：2023年02月07日 09:11:33 作者：藤原·拓海

这篇文章主要介绍了mybatis中的字符串拼接问题，具有很好的参考价值，希望对大家有所帮助。如有错误或未考虑完全的地方，望不吝赐教

mybatis字符串拼接

MyBatis中拼接字符串有两种方式。

使用CONCAT 函数

SELECT * FROM user WHERE name LIKE CONCAT(CONCAT(‘%', #{name}), ‘%')

使用${ } 代替 #{ }

因为${ }直接传入SQL，而#{ }传入的是字符串带有引号

SELECT * FROM user WHERE name LIKE ‘%${name}%'

原因：

#{}能够有效防止SQL注入，但是也有它的缺点，它会把传入的数据自动加上一个双引号，所以如果要的是数字的话，就会比较尴尬。

而${}可以直接解析出原本的数据，所以需要数值比较的话，还是要加${}。

mybatis 拼接动态表名、字段名

在项目中遇到个需求是要动态的根据前台传入的字段名称和升降序条件在mybatis里动态拼接sql语句进行查询。现在对解决方法进行下总结，希望对遇到同样问题的伙伴有些帮助。

动态SQL是mybatis的强大特性之一，mybatis在对sql语句进行预编译之前，会对sql进行动态解析，解析为一个BoundSql对象，也是在此处对动态sql进行处理。

这里我们详细说下动态表名和字段名。下面让我们先来熟悉下mybatis里#{}与${}的用法：

在动态sql解析过程，#{}与${}的效果是不一样的：

#{ } 解析为一个 JDBC 预编译语句（prepared statement）的参数标记符。

如以下sql语句

select * from user where name = #{name};

会被解析为：

select * from user where name = ?;

可以看到#{}被解析为一个参数占位符？。

${ } 仅仅为一个纯碎的 string 替换，在动态 SQL 解析阶段将会进行变量替换

如以下sql语句：

select * from user where name = ${name};

当我们传递参数“sprite”时，sql会解析为：

select * from user where name = "sprite";

可以看到预编译之前的sql语句已经不包含变量name了。

综上所得， ${ } 的变量的替换阶段是在动态 SQL 解析阶段，而 #{ }的变量的替换是在 DBMS 中。

#{}与${}的区别可以简单总结如下：

#{}将传入的参数当成一个字符串，会给传入的参数加一个双引号
${}将传入的参数直接显示生成在sql中，不会添加引号
#{}能够很大程度上防止sql注入，${}无法防止sql注入

${}在预编译之前已经被变量替换了，这会存在sql注入的风险。如下sql

select * from ${tableName} where name = ${name}

如果传入的参数tableName为user; delete user; --，那么sql动态解析之后，预编译之前的sql将变为：

select * from user; delete user; -- where name = ?;
--之后的语句将作为注释不起作用，顿时我和我的小伙伴惊呆了！！！看到没，本来的查询语句，竟然偷偷的包含了一个删除表数据的sql，是删除，删除，删除！！！重要的事情说三遍，可想而知，这个风险是有多大。

${}一般用于传输数据库的表名、字段名等
能用#{}的地方尽量别用${}

进入正题，通过上面的分析，相信大家可能已经对如何动态调用表名和字段名有些思路了。示例如下：

  <select id="getUser" resultType="java.util.Map" parameterType="java.lang.String" statementType="STATEMENT">
    select 
        ${columns}
    from ${tableName}
        where COMPANY_REMARK = ${company}
  </select>

要实现动态调用表名和字段名，就不能使用预编译了，需添加statementType="STATEMENT"" 。

statementType：STATEMENT（非预编译），PREPARED（预编译）或CALLABLE中的任意一个，这就告诉 MyBatis 分别使用Statement，PreparedStatement或者CallableStatement。默认：PREPARED。这里显然不能使用预编译，要改成非预编译。

其次，sql里的变量取值是${xxx},不是#{xxx}。

因为${}是将传入的参数直接显示生成sql，如${xxx}传入的参数为字符串数据，需在参数传入前加上引号，如：

String name = "sprite";
name = "'" + name + "'";

这样，sql就变成：

select * from user where name = 'sprite';

总结

以上为个人经验，希望能给大家一个参考，也希望大家多多支持脚本之家。

您可能感兴趣的文章:

Java代码实现微信页面滚动防露底(核心代码)
这篇文章主要介绍了Java代码实现微信页面滚动防露底的相关资料,非常不错，具有参考借鉴价值，需要的朋友可以参考下
2016-09-09
Maven聚合开发实例详解
这篇文章主要介绍了Maven聚合开发实例代码，本文通过实例代码给大家介绍的非常详细，对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
2023-03-03
Java线上CPU内存冲高问题排查解决步骤
这篇文章主要介绍了Java线上CPU内存冲高问题排查解决步骤的相关资料,Java程序在实际生产过程中经常遇到CPU或内存使用率高的问题,文中通过实例代码介绍的非常详细,需要的朋友可以参考下
2023-07-07
如何获取java新IO的Path文件大小
这篇文章主要介绍了如何获取java新IO的Path文件大小,文中通过示例代码介绍的非常详细，对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
2019-09-09
maven打包成第三方jar包且把pom依赖包打入进来的方法
这篇文章主要介绍了maven打包成第三方jar包且把pom依赖包打入进来的方法，小编觉得挺不错的，现在分享给大家，也给大家做个参考。一起跟随小编过来看看吧
2018-11-11
Springboot快速集成sse服务端推流(最新整理)
SSE Server-Sent Events是一种允许服务器向客户端推送实时数据的技术,它建立在 HTTP 和简单文本格式之上,提供了一种轻量级的服务器推送方式,通常也被称为“事件流”（Event Stream）,这篇文章主要介绍了Springboot快速集成sse服务端推流(最新整理),需要的朋友可以参考下
2024-02-02
intellij idea tomcat热部署配置教程
这篇文章主要介绍了intellij idea tomcat热部署配置教程图解，非常不错，具有一定的参考借鉴价值，需要的朋友参考下吧
2018-07-07
Spring学习之动态代理（JDK动态代理和CGLIB动态代理）
本篇文章主要介绍了Spring学习之动态代理（JDK动态代理和CGLIB动态代理），具有一定的参考价值，感兴趣的小伙伴们可以参考一下
2017-07-07
解决IDEA创建第一个spring boot项目提示cannot resolve xxx等
这篇文章主要介绍了解决IDEA创建第一个spring boot项目提示cannot resolve xxx等错误问题,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教
2024-01-01
全网最全Mybatis-Plus详解
Mybatis-Plus是一个Mybatis（opens new window）的增强工具,在Mybatis的基础上只做增强不做改变,为简化开发,这篇文章主要介绍了全网最全Mybatis-Plus详解,需要的朋友可以参考下
2024-05-05