【JavaEE】Mybatis 传参与排序模糊查询

目录

一、#{ }和${ }传参的区别

我们先来看一下,使用两个方式传递Integer的日志上的不同。

  • 我们可以看见使用#{ }传参的参数没有在后⾯拼接,id的值是使⽤ ? 进⾏占位. 这种SQL 我们称之为"预编译SQL" 。
  • 而使用${ } 传参的参数直接在后⾯拼接,这种SQL 我们称之为"即时SQL" 。

并且当我们使用${ ]传String类型的参数的时候,我们跟#{ }使用同样方式会报错。

这个原因是因为{ }传参是直接拼接,导致我们SQL语句传参是字符串时参数没有用引号括起来,语法直接报错了。我们使用{ }传字符串要加引号。

java 复制代码
    @Select("select * from user_info where username = '${userName}' and password = '${password}'")
    List<UserInfo> selectUsernameAndPassWord(String userName, String password) ;

即时SQL与预编译SQL区别:

一条SQL的执行流程如下:

  1. 解析语法和语义, 校验SQL语句是否正确
  2. 优化SQL语句, 制定执⾏计划
  3. 执⾏并返回结果

预编译SQL就可以当执行相同SQL语句,只是参数不同时,不用执行第1步和 第2步。编译⼀次之后会将编译后的SQL语句缓存起来,后⾯再次执⾏这条语句时,不会再次编译。

#{ }与${ }区别:

  1. #{ }由于是预编译SQL的原因性能更高一些。
  2. #{ }还能防止SQL注入的安全问题。

SQL注⼊:是通过操作输⼊的数据来修改事先定义好的SQL语句,以达到执⾏代码对服务器进⾏攻击的⽅法。

由于没有对⽤⼾输⼊进⾏充分检查,⽽SQL⼜是拼接⽽成,在⽤⼾输⼊参数时,在参数中添加⼀些SQL关键字,达到改变SQL运⾏结果的⽬的,也可以完成恶意攻击。

sql 复制代码
--这条SQL语句就有SQL注入的问题
select username, `password`, age, gender, phone from user_info where 
password = ''or 1 ='1'

二、排序

我们将排序的方式作为参数传递,用户选择升序还是降序。

java 复制代码
@Select("select * from user_info order by id #{order}")
    List<UserInfo> selectAllSort(String order) ;

测试方法:

java 复制代码
    @Test
    void selectAllSort() {
        System.out.println(userMapper.selectAllSort("desc"));
    }

向上面这样使用#{ }传参会报错:会解析SQL语句为select * from user_info order by id 'desc'

我们在这种情况下 只能使用${ }传参。但是又要防止SQL注入的风险。由于排序只有desc和asc两种选项,我们在后端写好校验,防止SQL注入。

java 复制代码
    @Select("select * from user_info order by id ${order}")
    List<UserInfo> selectAllSort(String order) ;

三、like查询

java 复制代码
@Select("select * from user_info where username like '%#{name}%' ")
    List<UserInfo> selectLike(String name) ;

也会报错:解析为select * from user_info where username like '%'zhang'%'

![

](https://i-blog.csdnimg.cn/direct/c6c02e5d92f247518663c1e8ddca93aa.png)

我们这里不能使用${ }来解决,由于参数不是有限固定的,不能进行校验 防止SQL注入。我们使用SQL的字符串拼接函数concat。

java 复制代码
@Select("select * from user_info where username like concat('%', #{name} ,'%') ")
    List<UserInfo> selectLike(String name) ;

测试方法:

java 复制代码
    @Test
    void selectLike() {
        userMapper.selectLike("zhang");
    }

结果:

四、数据库连接池

数据库连接池负责分配、管理和释放数据库连接,它允许应⽤程序重复使⽤⼀个现有的数据库连接,⽽不是再重新建⽴⼀个。

常⻅的数据库连接池:C3P0 DBCP Druid Hikari ⽬前⽐较流⾏的是 Hikari, Druid。

Hikari是SpringBoot默认使⽤的数据库连接池。

果我们想把默认的数据库连接池切换为Druid数据库连接池,只需要引⼊相关依赖即可。

xml 复制代码
--3.x版本
<dependency>
 <groupId>com.alibaba</groupId>
 <artifactId>druid-spring-boot-3-starter</artifactId>
 <version>1.2.21</version>
</dependency>

--2.x版本
<dependency>
 <groupId>com.alibaba</groupId>
 <artifactId>druid-spring-boot-starter</artifactId>
 <version>1.1.17</version>
</dependency>

五、MySQL 开发企业规范

  1. 表名, 字段名使⽤⼩写字⺟或数字, 单词之间以下划线分割. 尽量避免出现数字开头或者两个下划线中间只出现数字.数据库字段名的修改代价很⼤,所以字段名称需要慎重考虑。

MySQL 在 Windows 下不区分⼤⼩写, 但在 Linux下默认是区分⼤⼩写.因此,数据库名,表名,字段名都不允许出现任何⼤写字⺟, 避免节外⽣枝

正例: aliyun_admin,rdc_config, level3_name

反例: AliyunAdmin,rdcConfig,level_3_name

  1. 表必备三字段: id, create_time, update_time

id 必为主键, 类型为 bigint unsigned, 单表时⾃增, 步⻓为 1

create_time, update_time 的类型均为 datetime 类型, create_time表⽰创建时间,

update_time表⽰更新时间

有同等含义的字段即可, 字段名不做强制要求

  1. 在表查询中, 避免使⽤ * 作为查询的字段列表, 标明需要哪些字段.
  1. 增加查询分析器解析成本
  2. 增减字段容易与 resultMap 配置不⼀致
  3. ⽆⽤字段增加⽹络消耗, 尤其是text 类型的字段
相关推荐
逸狼4 分钟前
【JavaEE进阶】MyBatis(4)-完善图书管理系统
数据库·java-ee·mybatis
小突突突1 小时前
总结 MyBatis 的XML实现方法
xml·oracle·mybatis
潘多编程18 小时前
SpringBoot分布式项目订单管理实战:Mybatis最佳实践全解
spring boot·分布式·mybatis
要天天开心啊19 小时前
MyBatis第二天笔记
笔记·tomcat·mybatis
于过1 天前
基于Mybatis的SQL模版解析
后端·mybatis
小刘|1 天前
Mybatis_Plus中的常用注解
java·spring·mybatis
小钊(求职中)1 天前
七种分布式ID生成方式详细介绍--Redis、雪花算法、号段模式以及美团Leaf 等
java·spring boot·分布式·spring·mybatis
bysjlwdx1 天前
deploy myEclipse j2ee project to server没反应
ide·java-ee·myeclipse
luoluoal1 天前
java项目之基于ssm的医院门诊挂号系统(源码+文档)
java·mysql·mybatis·ssm·源码
shaoweijava2 天前
基于SpringBoot的美食设计网站(源码+数据库)
数据库·spring boot·mysql·mybatis