mybatis直接执行完整sql及踩坑解决

更新时间：2025年09月27日 14:15:08 作者：StrongerB

MyBatis可通过select标签执行动态SQL,DQL用List<LinkedHashMap>接收结果,DML用int处理,注意防御SQL注入,优先使用#{}参数,资源目录需规范路径,避免绑定异常；数据库字段避免关键字,防止转义问题

mybatis直接执行完整sql及踩坑

开发中有时遇到将表名或者完整sql作为参数去执行，与一般情况下的增删改查传参数或者对象不同，mybatis也是可以直接执行sql语句的，这个时候如何sql的返回值不太好处理，大致分为DQL和DML两种情况。

select语句采用

List<LinkedHashMap<String , Object>>接收，这样可以保证查询结果的字段有序输出，查询结果如果是空会返回'[]'

List<LinkedHashMap<String , Object>> executeQuerySql(@Param("sql") String sql);

count、insert、update等语句用int接收即可

int executeCountSql(@Param("sql") String sql);

在xml中的标签统一用select即可

如下：

<select id="executeQuerySql" resultType="java.util.LinkedHashMap" parameterType="String">
        ${sql}
    </select>
    <select id="executeCountSql" resultType="java.lang.Integer" parameterType="String">
        ${sql}
    </select>

这时要注意预防sql注入

#{}拼接参数可以很大程度上的防止sql注入，${}却不行，做法可以使用PrepareStateMent预编译进行防范，或者简单粗暴的对sql进行识别过滤一下

例如：

public static boolean sqlValidate(String sql) {
        String badStr = "'|and|exec|execute|insert|select|delete|update|count|drop|*|%|chr|mid|master|truncate|" +
                "char|declare|sitename|net user|xp_cmdshell|;|or|-|+|,|like'|and|exec|execute|insert|create|drop|" +
                "table|from|grant|use|group_concat|column_name|" +
                "information_schema.columns|table_schema|union|where|select|delete|update|order|by|count|*|" +
                "chr|mid|master|truncate|char|declare|or|;|-|--|+|,|like|//|/|%|#";//过滤掉的sql关键字，可以手动添加
        String[] badSplit = badStr.split("\\|");
        for (String s : badSplit) {
            if (sql.contains(s)) {
                return true;
            }
        }
        return false;
    }
}

踩坑环节

1、resources目录下的文件夹

一定要一步一步创建或者包中间用/符号分隔，否则就会造成看上去没毛病，但是报错：

org.apache.ibatis.binding.BindingException: Invalid bound statement (not found)

图中user是用mybatis/user创建的，user1是用mybatis.user1创建的，根本看不出来，一不小心就得找bug一小时。。。

2、数据库字段一定不要用关键字

否则在xml中就算用上各种转义符累半天不说，还不一定好使。。。

总结

以上为个人经验，希望能给大家一个参考，也希望大家多多支持脚本之家。

您可能感兴趣的文章:

IDEA配置tomcat的方法、IDEA配置tomcat运行web项目详解
这篇文章主要介绍了IDEA配置tomcat的方法、IDEA配置tomcat运行web项目详解，具有很好的参考价值，希望对大家有所帮助。如有错误或未考虑完全的地方，望不吝赐教
2023-07-07
Springboot迁移到Micronaut实现过程详解
这篇文章主要为大家介绍了Springboot迁移到Micronaut实现过程详解，有需要的朋友可以借鉴参考下，希望能够有所帮助，祝大家多多进步，早日升职加薪
2023-05-05
详解Java如何实现在PDF中插入,替换或删除图像
图文并茂的内容往往让人看起来更加舒服，如果只是文字内容的累加，往往会使读者产生视觉疲劳。搭配精美的文章配图则会使文章内容更加丰富。那我们要如何在PDF中插入、替换或删除图像呢？别担心，今天为大家介绍一种高效便捷的方法
2023-01-01
java中的export方法实现导出excel文件
这篇文章主要介绍了java中的export方法实现导出excel文件，文章围绕java导出excel文件的相关资料展开详细内容，需要的小伙伴可以参考一下
2022-03-03
新手了解java 集合基础知识
今天小编就为大家分享一篇关于Java集合总结，小编觉得内容挺不错的，现在分享给大家，具有很好的参考价值，需要的朋友一起跟随小编来看看吧，希望对你有所帮助
2021-07-07
一篇文章带你了解MySQL数据库基础
这篇文章主要介绍了MySql数据库基础知识点,总结整理了mysql数据库基本创建、查看、选择、删除以及数据类型相关操作技巧,需要的朋友可以参考下
2021-08-08
Java导出CSV文件的方法
这篇文章主要为大家详细介绍了Java导出CSV文件的方法，分页查询大数据量，文中示例代码介绍的非常详细，具有一定的参考价值，感兴趣的小伙伴们可以参考一下
2020-12-12
maven如何打包动态环境变量(包括启动脚本)
这篇文章主要介绍了maven如何打包动态环境变量(包括启动脚本)问题，具有很好的参考价值，希望对大家有所帮助。如有错误或未考虑完全的地方，望不吝赐教
2023-04-04
java 三元操作符用法说明
这篇文章主要介绍了java 三元操作符用法说明，具有很好的参考价值，希望对大家有所帮助。一起跟随小编过来看看吧
2020-10-10
Java中的分布式事务Seata详解
这篇文章主要介绍了Java中的分布式事务Seata详解,Seata 是一款开源的分布式事务解决方案,致力于提供高性能和简单易用的分布式事务服务,Seata 将为用户提供了 AT、TCC、SAGA 和 XA 事务模式,为用户打造一站式的分布式解决方案,需要的朋友可以参考下
2023-08-08