温馨提示×

温馨提示×

您好,登录后才能下订单哦!

密码登录×
登录注册×
其他方式登录
点击 登录注册 即表示同意《亿速云用户服务条款》

MyBatis Xml映射文件中的字符串替换方式是什么

发布时间:2021-11-26 13:11:37 来源:亿速云 阅读:285 作者:柒染 栏目:开发技术

这篇文章将为大家详细讲解有关MyBatis Xml映射文件中的字符串替换方式是什么,文章内容质量较高,因此小编分享给大家做个参考,希望大家阅读完这篇文章后对相关知识有一定的了解。

    MyBatis Xml映射文件字符串替换

    字符串替换

    默认情况下,使用 #{} 格式的语法会导致 MyBatis 创建 PreparedStatement 参数占位符并安全地设置参数(就像使用 ? 一样)。 这样做更安全,更迅速,通常也是首选做法,不过有时你就是想直接在 SQL 语句中插入一个不转义的字符串。

    比如,像 ORDER BY,你可以这样来使用:

    ORDER BY ${columnName}

    这里 MyBatis 不会修改或转义字符串。

    当 SQL 语句中的元数据(如表名或列名)是动态生成的时候,字符串替换将会非常有用。

    举个例子

    如果你想通过任何一列从表中 select 数据时,不需要像下面这样写:

    @Select("select * from user where id = #{id}")
    User findById(@Param("id") long id);
     
    @Select("select * from user where name = #{name}")
    User findByName(@Param("name") String name);
     
    @Select("select * from user where email = #{email}")
    User findByEmail(@Param("email") String email); 
    // and more "findByXxx" method

    可以只写这样一个方法:

    @Select("select * from user where ${column} = #{value}")
    User findByColumn(@Param("column") String column, @Param("value") String value);

    其中 ${column} 会被直接替换,而 #{value} 会被使用 ? 预处理。 因此你就可以像下面这样来达到上述功能:

    User userOfId1 = userMapper.findByColumn("id", 1L);
    User userOfNameKid = userMapper.findByColumn("name", "kid");
    User userOfEmail = userMapper.findByColumn("email", noone@nowhere.com);

    这个想法也同样适用于用来替换表名的情况。

    提示:用这种方式接受用户的输入,并将其用于语句中的参数是不安全的,会导致潜在的 SQL 注入攻击,因此要么不允许用户输入这些字段,要么自行转义并检验。

    Mybatis中字符串替换问题

    默认情况下,使用#{}格式的语法会导致MyBatis创建预处理语句属性并以它为背景设置安全的值(比如?)。这样做很安全,很迅速也是首选做法!

    有时只想直接在SQL语句中插入一个不改变的字符串.比如,像ORDER BY,你可以这样来使用:ORDER BY ${column}

    这里MyBatis不会修改或转义字符串。

    重要:接受从用户输出的内容并提供给语句中不变的字符串,这样做是不安全的。这会导致潜在的SQL注入攻击,因此你不应该允许用户输入这些字段,或者通常自行转义并检查!

    错误方式:

    ORDER BY fupdated ${sort, jdbcType=VARCHAR}, fcreated ${sort, jdbcType=VARCHAR}

    正确方式:

    ORDER BY fupdated ${sort}, fcreated ${sort}

    前提条件:请对sort进行必要验证,防止sql攻击问题!

    关于MyBatis Xml映射文件中的字符串替换方式是什么就分享到这里了,希望以上内容可以对大家有一定的帮助,可以学到更多知识。如果觉得文章不错,可以把它分享出去让更多的人看到。

    向AI问一下细节

    免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。

    AI