【MyBatis 学习二】增删改查&& 参数占位符 #{} 和 ${}的使用

这篇具有很好参考价值的文章主要介绍了【MyBatis 学习二】增删改查&& 参数占位符 #{} 和 ${}的使用。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

目录

一、增删改查

🌷1、用户类

🌷2、UserMapper

🌷3、UserMapper.xml

🌷4、测试类Test

🌷5、UserService类

🌷6、UserController类

🌷7、注意点总结

二、#{} 和${} 的使用区别

🌷1、#{}与${}的区别(SQL注入)

🌷2、$的SQL注入:用户登录演示

🌷3、$的使用场景:排序+like

🌲 使用场景1:排序

🌲使用场景2:like


一、增删改查

🌷1、用户类

注意:这里的用户类的属性与数据库中的表的字段要一一对应才行。关于两者可以不一致的写法,我们后续再继续介绍~

@Data
public class User {
    private Integer Id;
    private String username;
    private String password;
    private String photo;
    private Date createTime;
    private Date updateTime;
}

🌷2、UserMapper

@Mapper
public interface UserMapper {
    //定义接口:查询数据库内容
    /**
     * 查询所有内容
     * @return 返回数据库中的所有用户
     */
    public abstract List<User> queryAll();

    /**
     * 根据Id查询用户
     * @return 返回符合条件大用户
     */
    //(1)当只有一个参数的时候,可以加注解也可以不加:加注解的话:@Param("uid"),xml文件也叫uid要对应。
    public abstract User queryById(@Param("uid") Integer id);
    //(2)当只有一个参数的时候,如果不加注解@Param,此时的Integer后的参数名叫什么都行,可以与xml文件中的where id = 后的参数名不对应
//    public abstract User queryById(Integer aaa);
    //(3)当有多个参数的时候,就得加注解@Param

    /**
     * 增加:插入一个对象:也就是一条记录
     * @param user 插入对象
     * @return 返回受影响的行数
     */
    public abstract Integer insert(User user);
    //加注解
    public abstract Integer insert1(@Param("aaa") User user);
    //获取自增id
    public abstract Integer insert2(@Param("userinfo")User user);

    /**
     * 修改用户内容:加注解的方式
     * @param user
     */
//    void update(@Param("ccc") User user);
    //不加注解
    void update(User user);

    /**
     * 根据主键删除id:没有加注解
     * @param id
     */
//    void delete(Integer Id);
    //加注解的方式
    void delete(@Param("aaa") Integer id);
}

🌷3、UserMapper.xml

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE mapper PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN" "http://mybatis.org/dtd/mybatis-3-mapper.dtd">
<mapper namespace="demo2.mapper.UserMapper">
<!--表示实现的是demo1下的UserMapper接口-->
    <select id="queryAll" resultType="demo1.model.User">
    select * from userinfo
    </select>
<!--id是方法名,resultType是返回的结果:返回的是一个User对象-->
    
    <select id="queryById" resultType="demo2.model.User">
        select * from userinfo where id = #{uid}
    </select>
    <insert id="insert" useGeneratedKeys="true" keyProperty="id">
        insert into userinfo(username,password,photo) values(#{username},#{password},#{photo})
    </insert>

    <insert id="insert1">
        insert into userinfo(username,password,photo) values(#{aaa.username},#{aaa.password},#{aaa.photo})
    </insert>

<!--    useGeneratedKeys是否使用自动生成生成的key值,赋值的结果返回给谁?-->
    <insert id="insert2" useGeneratedKeys="true" keyProperty="id">
        insert into userinfo(username,password,photo) values(#{userinfo.username},#{userinfo.password},#{userinfo.photo})
    </insert>

<!--    没有使用注解的方式,Mybatis会自动帮我们生成属性,#后面直接加属性名就好了,加注解就是下面这个-->
    <update id="update">
        update userinfo set username=#{ccc.username}, password=#{ccc.password} where id = #{ccc.id}
    </update>

<!--    <delete id="delete">-->
<!--        delete from userinfo where id = #{id}-->
<!--    </delete>-->

    <delete id ="delete">
        delete from userinfo where id= #{aaa}
    </delete>
</mapper>

🌷4、测试类Test

@Slf4j
@SpringBootTest
class UserMapperTest {
    @Autowired
    private UserMapper userMapper;

    @Test
    void queryById() {
        log.info("queryById...");
        User user = userMapper.queryById(1);
        log.info(user.toString());
    }

    @Test
    void insert() {
        log.info("insert...");
        User user = new User();
        user.setUsername("小花花");
        user.setPassword("123");
        user.setPhoto("jfdsf");
        Integer row = userMapper.insert(user);
        log.info("insert:"+row +user.getId());
    }

    @Test
    void insert1() {
        log.info("insert...");
        User user = new User();
        user.setUsername("小叶子");
        user.setPassword("456");
        user.setPhoto("doasj");
        Integer row = userMapper.insert(user);
        log.info("insert:"+row);
    }

    @Test
    void insert2() {
        log.info("insert...");
        User user = new User();
        user.setUsername("小兔子");
        user.setPassword("000");
        user.setPhoto("000");
        System.out.println(user.getId());
        System.out.println(user.getUsername());
        Integer row = userMapper.insert(user);
        log.info("insert:"+row+"自增id"+user.getId());
    }

    @Test
    void update() {
        log.info("update...");
        User user = new User();
        user.setId(1);
        user.setUsername("小老虎");
        user.setPassword("888");
        userMapper.update(user);
    }

    @Test
    void delete() {
        log.info("delete...");
        userMapper.delete(16);
    }
}

🌷5、UserService类

@Service
public class UserService {
    /**
     * 根据Id查询用户
     */
    @Resource
    private UserMapper userMapper;
    public User queryById(){
        return userMapper.queryById(1);
    }
}

🌷6、UserController类

@RestController
@RequestMapping("/web")
public class UserController {
    @Resource
    private UserService userService;
    @RequestMapping("/queryById")
    public User queryById(){
        return userService.queryById();
    }
}

🌷7、注意点总结

1、根据Id查询用户

情况1:当只有一个参数的时候,可以加注解也可以不加。

(1)不加注解:参数名可以任意:【MyBatis 学习二】增删改查&& 参数占位符 #{} 和 ${}的使用,Spring学习,mybatis,学习,spring boot,servlet,后端,spring,java

 (2)加注解:@Param("uid"),xml文件也叫uid要对应。而Integer后的名字可以任意。

【MyBatis 学习二】增删改查&& 参数占位符 #{} 和 ${}的使用,Spring学习,mybatis,学习,spring boot,servlet,后端,spring,java

(3)如果有多个参数:就必须加注解。

2、插入数据

情况1:不加注解

【MyBatis 学习二】增删改查&& 参数占位符 #{} 和 ${}的使用,Spring学习,mybatis,学习,spring boot,servlet,后端,spring,java

情况2:加注解

【MyBatis 学习二】增删改查&& 参数占位符 #{} 和 ${}的使用,Spring学习,mybatis,学习,spring boot,servlet,后端,spring,java


问题:怎么拿到自增Id?

【MyBatis 学习二】增删改查&& 参数占位符 #{} 和 ${}的使用,Spring学习,mybatis,学习,spring boot,servlet,后端,spring,java

(1)useGeneratedKeys:这会令 MyBatis 使⽤ JDBC 的 getGeneratedKeys ⽅法来取出由数据库内部⽣成的主键(⽐如:像 MySQL 和 SQL Server 这样的关系型数据库管理系统的⾃动递增字段),默认值:false。

(2)keyColumn:设置⽣成键值在表中的列名,在某些数据库(像 PostgreSQL)中,当主键列不是表中的第⼀列的时候,是必须设置的。如果⽣成列不⽌⼀个,可以⽤逗号分隔多个属性名称。

(3)keyProperty:指定能够唯⼀识别对象的属性,MyBatis 会使⽤ getGeneratedKeys 的返回值或 insert 语句的 selectKey ⼦元素设置它的值,默认值:未设置(unset)。如果⽣成列
不⽌⼀个,可以⽤逗号分隔多个属性名称。

个人总结:

        其实增删改查都可以加注解或者不加,不过在插入数据和修改数据的时候,加注解@Param("aaa")的方式要用对象名.属性(aaa.getName)获取。在通过id查询和删数数据的时候,给id加注解@Param("uid")的方式,其中注解后的参数要和xml文件中的#{uid}内容一致。 一般不加,防止出错。


二、#{} 和${} 的使用区别

现象1:将queryById的方法中的#替换为$:两者成功!

【MyBatis 学习二】增删改查&& 参数占位符 #{} 和 ${}的使用,Spring学习,mybatis,学习,spring boot,servlet,后端,spring,java

现象2:根据姓名来查询

【MyBatis 学习二】增删改查&& 参数占位符 #{} 和 ${}的使用,Spring学习,mybatis,学习,spring boot,servlet,后端,spring,java

🌷1、#{}与${}的区别(SQL注入)

#{}:预编译处理。通过占位方式实现。
${}:字符直接替换。有SQL注入问题

(1)预编译处理是指:MyBatis 在处理#{}时,会将 SQL 中的 #{} 替换为?号,通过占位的方式实现来赋值。

(2)直接替换:是MyBatis 在处理 ${} 时,就是把 ${} 替换成变量的值。直接被当做是sql语句的一部分来执行,被当做是列名了,属于字符的直接替换,会造成SQL注入(用户输入的SQL中带有恶意SQL)。加了引号之后才会被当做一个参数。

举个栗子🌰

【MyBatis 学习二】增删改查&& 参数占位符 #{} 和 ${}的使用,Spring学习,mybatis,学习,spring boot,servlet,后端,spring,java

我们再打印日志观察一下:

首先在xml文件中添加:

【MyBatis 学习二】增删改查&& 参数占位符 #{} 和 ${}的使用,Spring学习,mybatis,学习,spring boot,servlet,后端,spring,java

【MyBatis 学习二】增删改查&& 参数占位符 #{} 和 ${}的使用,Spring学习,mybatis,学习,spring boot,servlet,后端,spring,java  和上面我们所说的内容是相符的。

问题1:是不是#{}就等同于${}呢?我们继续看下面

🌷2、$的SQL注入:用户登录演示

根据用户名和密码查询:

情况1:根据#查询

【MyBatis 学习二】增删改查&& 参数占位符 #{} 和 ${}的使用,Spring学习,mybatis,学习,spring boot,servlet,后端,spring,java

 情况2:根据$查询: 【MyBatis 学习二】增删改查&& 参数占位符 #{} 和 ${}的使用,Spring学习,mybatis,学习,spring boot,servlet,后端,spring,java

总结1:

sql 注⼊代码:“' or 1='1”。

(1)#方式:

        用户名密码正确,查询出对应用户;

        用户名正确,密码错误,显示null;

        SQL注入:显示为null。

(2)$方式

        用户名密码正确,查询出对应用户;

        用户名正确,密码错误,显示为null;

        SQL注入:也能查询出用户!!!        

回答上面的问题1,两者之间还是不等价的,$存在SQL注入的问题。那么又有新的问题了。

问题2:我们是不是就不使用$了呢?肯定不是,存在肯定有它存在的道理。

🌷3、$的使用场景:排序+like

🌲 使用场景1:排序

如果使用#的方式:发现不能实现排序功能。

【MyBatis 学习二】增删改查&& 参数占位符 #{} 和 ${}的使用,Spring学习,mybatis,学习,spring boot,servlet,后端,spring,java

 所以在排序问题上只能使用$符号,但是它存在SQL注入(用户输入的SQL带有恶意SQL)的问题,怎么解决呢?那就让用户只能点击,后端在查询之前,对参数进行校验:只能传两个值:desc和asc。其中${}不用再加引号了。

【MyBatis 学习二】增删改查&& 参数占位符 #{} 和 ${}的使用,Spring学习,mybatis,学习,spring boot,servlet,后端,spring,java

🌲使用场景2:like

like使用#会报错,使用$可以查询出来。

【MyBatis 学习二】增删改查&& 参数占位符 #{} 和 ${}的使用,Spring学习,mybatis,学习,spring boot,servlet,后端,spring,java

 使用$方式设置,成功。

【MyBatis 学习二】增删改查&& 参数占位符 #{} 和 ${}的使用,Spring学习,mybatis,学习,spring boot,servlet,后端,spring,java

【MyBatis 学习二】增删改查&& 参数占位符 #{} 和 ${}的使用,Spring学习,mybatis,学习,spring boot,servlet,后端,spring,java

 但是使用$还是存在SQL注入的问题,我们解决不了,所以用另一种方式:需要使用mysql内置函数concat(字符串直接替换)。

【MyBatis 学习二】增删改查&& 参数占位符 #{} 和 ${}的使用,Spring学习,mybatis,学习,spring boot,servlet,后端,spring,java

【MyBatis 学习二】增删改查&& 参数占位符 #{} 和 ${}的使用,Spring学习,mybatis,学习,spring boot,servlet,后端,spring,java

总结2:

        在排序和like的时候,直接使用#会报错,使用$可以成功。但是都存在SQL注入的问题,其中,排序的解决办法是:后端在查询之前,对参数进行校验:只能传两个值:desc和asc。在like的时候,$的SQL注入问题无法解决,我们一般使用mysql内置函数concat。


【MyBatis 学习二】增删改查&& 参数占位符 #{} 和 ${}的使用,Spring学习,mybatis,学习,spring boot,servlet,后端,spring,java文章来源地址https://www.toymoban.com/news/detail-610130.html

到了这里,关于【MyBatis 学习二】增删改查&& 参数占位符 #{} 和 ${}的使用的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • Spring Boot单元测试与Mybatis单表增删改查

    目录 1. Spring Boot单元测试 1.1 什么是单元测试? 1.2 单元测试有哪些好处? 1.3 Spring Boot 单元测试使用 单元测试的实现步骤 1. 生成单元测试类 2. 添加单元测试代码 简单的断言说明 2. Mybatis 单表增删改查 2.1 单表查询 2.2 参数占位符 ${} 和 #{} ${} 和 #{}的区别 1. 作用不同 2. 安全性

    2024年02月13日
    浏览(35)
  • Spring Boot+Mybatis实现增删改查接口开发+测试(超详细建议收藏)

    Java也是测试必知必会的内容,特别是现在类似spring boot 等Java框架更是成为主流。之前实现的图书增删改查是用Python实现的,没看过的请移步:Flask+mysql 实现增删改查接口开发+测试(图文教程附源码),本次给大家带来用Java实现的后端接口版本,并根据之前的项目总结有做一

    2024年02月03日
    浏览(50)
  • 开发实例:Spring Boot、MyBatis和Layui打造增删改查项目

    通过学习这个实例项目,我们将积累点滴技术知识和实践经验,进一步提升我们的开发能力。学习如何构建增删改查功能的完整应用,从数据库访问到前端界面的开发,涵盖了全栈开发的方方面面。此外,我们还将学会处理常见的业务逻辑和数据操作,提高编码质量和效率。

    2024年02月06日
    浏览(65)
  • Java编程精选:掌握Spring Boot、MySQL和MyBatis的增删改查实战

    当使用Spring Boot和MyBatis来实现对数据库的操作时,可以按照以下步骤进行配置和开发: 确保已经在项目的 pom.xml 文件中添加了Spring Boot和MyBatis的依赖。 配置数据库连接信息。在 application.properties 文件中添加以下配置: 请根据实际情况修改数据库连接URL、用户名和密码。 创建

    2024年02月08日
    浏览(84)
  • Spring Boot入门(08):整合Mybatis访问MySQL实现增删改查 | 超级详细,建议收藏

            在现代的Web应用程序中,数据库操作是不可避免的。而Spring Boot作为一款快速开发框架,其优秀的集成能力非常适合与数据库交互,而MyBatis则是一个优秀的ORM框架,可以大大简化我们的数据库操作。本文将结合Spring Boot和MyBatis,带您实现高效的MySQL增删改查操作,

    2024年02月12日
    浏览(45)
  • Mybatis从0到1 SQL注入 参数占位符 XML配置 动态SQL

    学习完mybatis入门后,我们继续学习mybatis基础操作。 需求说明: 根据资料中提供的《tlias智能学习辅助系统》页面原型及需求,完成员工管理的需求开发。 通过分析以上的页面原型和需求,我们确定了功能列表: 查询 根据主键ID查询 条件查询 新增 更新 删除 根据主键ID删除

    2024年02月16日
    浏览(44)
  • Spring Boot学习随笔- 集成JSP模板(配置视图解析器)、整合Mybatis(@MapperScan注解的使用)

    学习视频:【编程不良人】2021年SpringBoot最新最全教程 在main创建webapp,然后创建index.jsp进行测试,在访问之前需要进行一个设置,否则springboot是找不到jsp页面的 修改jsp无需重启应用 数据库访问框架:hibernate、jpa、mybatis【主流】 SpringBoot(微框架) = Spring(工厂) + SpringMV

    2024年02月05日
    浏览(47)
  • SSM框架的学习与应用(Spring + Spring MVC + MyBatis)-Java EE企业级应用开发学习记录(第一天)Mybatis的学习

    一、当前的主流框架介绍(这就是后期我会发出来的框架学习) Spring框架 ​ Spring是一个开源框架,是为了解决企业应用程序开发复杂性而创建的 ,其主要优势之一就是分层架构。 Spring提供了更完善的开发环境,可以为POJO(Plain Ordinary Java Object,普通Java对象 )对象提供企业级

    2024年02月12日
    浏览(53)
  • SSM框架的学习与应用(Spring + Spring MVC + MyBatis)-Java EE企业级应用开发学习记录(第二天)Mybatis的深入学习

    上一篇我们的项目搭建好了,也写了简答的Junit测试类进行测试,可以正确映射到数据库中。 那么这篇文章来深入学习一下以下几个点: 了解 MyBatis的核心对象SqlSessionFactoryBuilder 以及它的作用 掌握MyBatis核心配置文件以及元素的使用 。 掌握MyBatis映射文件及其元素的使用 。

    2024年02月11日
    浏览(66)
  • Spring Boot学习随笔- 集成MyBatis-Plus(二)条件查询QueryWrapper、聚合函数的使用、Lambda条件查询

    学习视频:【编程不良人】Mybatis-Plus整合SpringBoot实战教程,提高的你开发效率,后端人员必备! 普通查询 条件构造器查询 【重要】 AbstractWrapper  是 MyBatis Plus 中的一个抽象类,用于构建 SQL 查询条件。定义了泛型  T 、 C  和  Children 。其中, T  表示实体类的类型, C  表示查

    2024年02月04日
    浏览(56)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包