Mybatis 传参与排序模糊查询功能实现

一、#{ }和${ }传参的区别

我们先来看一下，使用两个方式传递Integer的日志上的不同。

• 我们可以看见使用#{ }传参的参数没有在后⾯拼接，id的值是使⽤ ? 进⾏占位. 这种SQL 我们称之为"预编译SQL" 。而使用${ } 传参的参数直接在后⾯拼接，这种SQL 我们称之为"即时SQL" 。
• 并且当我们使用${ ]传String类型的参数的时候，我们跟#{ }使用同样方式会报错。

这个原因是因为${ }传参是直接拼接，导致我们SQL语句传参是字符串时参数没有用引号括起来，语法直接报错了。我们使用${ }传字符串要加引号。

    @Select("select * from user_info where username = '${userName}' and password = '${password}'")
    List<UserInfo> selectUsernameAndPassWord(String userName, String password) ;

即时SQL与预编译SQL区别：

一条SQL的执行流程如下：

• 解析语法和语义, 校验SQL语句是否正确
• 优化SQL语句, 制定执⾏计划
• 执⾏并返回结果

预编译SQL就可以当执行相同SQL语句，只是参数不同时，不用执行第1步和 第2步。编译⼀次之后会将编译后的SQL语句缓存起来，后⾯再次执⾏这条语句时，不会再次编译。

#{ }与${ }区别：

• #{ }由于是预编译SQL的原因性能更高一些。
• #{ }还能防止SQL注入的安全问题。

SQL注⼊：是通过操作输⼊的数据来修改事先定义好的SQL语句，以达到执⾏代码对服务器进⾏攻击的⽅法。
由于没有对⽤⼾输⼊进⾏充分检查，⽽SQL⼜是拼接⽽成，在⽤⼾输⼊参数时，在参数中添加⼀些SQL关键字，达到改变SQL运⾏结果的⽬的，也可以完成恶意攻击。

--这条SQL语句就有SQL注入的问题
select username, `password`, age, gender, phone from user_info where 
password = ''or 1 ='1'

二、排序

我们将排序的方式作为参数传递，用户选择升序还是降序。

@Select("select * from user_info order by id #{order}")
    List<UserInfo> selectAllSort(String order) ;

测试方法：

    @Test
    void selectAllSort() {
        System.out.println(userMapper.selectAllSort("desc"));
    }

向上面这样使用#{ }传参会报错：会解析SQL语句为select * from user_info order by id ‘desc’

我们在这种情况下 只能使用${ }传参。但是又要防止SQL注入的风险。由于排序只有desc和asc两种选项，我们在后端写好校验，防止SQL注入。

    @Select("select * from user_info order by id ${order}")
    List<UserInfo> selectAllSort(String order) ;

三、like查询

@Select("select * from user_info where username like '%#{name}%' ")
    List<UserInfo> selectLike(String name) ;

也会报错：解析为select * from user_info where username like ‘%'zhang'%'

我们这里不能使用${ }来解决，由于参数不是有限固定的，不能进行校验 防止SQL注入。我们使用SQL的字符串拼接函数concat。

@Select("select * from user_info where username like concat('%', #{name} ,'%') ")
    List<UserInfo> selectLike(String name) ;

测试方法：

    @Test
    void selectLike() {
        userMapper.selectLike("zhang");
    }

结果：

四、数据库连接池

数据库连接池负责分配、管理和释放数据库连接，它允许应⽤程序重复使⽤⼀个现有的数据库连接，⽽不是再重新建⽴⼀个。

常⻅的数据库连接池：C3P0 DBCP Druid Hikari ⽬前⽐较流⾏的是 Hikari, Druid。

Hikari是SpringBoot默认使⽤的数据库连接池。
果我们想把默认的数据库连接池切换为Druid数据库连接池,只需要引⼊相关依赖即可。

--3.x版本
<dependency>
 <groupId>com.alibaba</groupId>
 <artifactId>druid-spring-boot-3-starter</artifactId>
 <version>1.2.21</version>
</dependency>
--2.x版本
<dependency>
 <groupId>com.alibaba</groupId>
 <artifactId>druid-spring-boot-starter</artifactId>
 <version>1.1.17</version>
</dependency>

五、MySQL 开发企业规范

表名, 字段名使⽤⼩写字⺟或数字, 单词之间以下划线分割. 尽量避免出现数字开头或者两个下划线中间只出现数字.数据库字段名的修改代价很⼤,所以字段名称需要慎重考虑。

MySQL 在 Windows 下不区分⼤⼩写, 但在 Linux下默认是区分⼤⼩写.因此,数据库名,表名,字段名都不允许出现任何⼤写字⺟, 避免节外⽣枝
正例： aliyun_admin，rdc_config， level3_name
反例： AliyunAdmin，rdcConfig，level_3_name

表必备三字段: id, create_time, update_time

id 必为主键, 类型为 bigint unsigned, 单表时⾃增, 步⻓为 1
create_time, update_time 的类型均为 datetime 类型, create_time表⽰创建时间,
update_time表⽰更新时间
有同等含义的字段即可, 字段名不做强制要求

在表查询中, 避免使⽤ * 作为查询的字段列表, 标明需要哪些字段.

• 增加查询分析器解析成本
• 增减字段容易与 resultMap 配置不⼀致
• ⽆⽤字段增加⽹络消耗, 尤其是text 类型的字段

到此这篇关于Mybatis 传参与排序模糊查询的文章就介绍到这了,更多相关Mybatis 模糊查询内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家！

最新评论