关于mybatis中sql常见问题处理
2017-12-29 14:04
344 查看
1、关于mybatis中判断条件中参数字符串处理
错误写法:if test="status == 'Y'"
结果:抛异常NumberFormatException异常!提示内容非常少,看不出问题在哪里!
正确写法:if test='status == "y"'
还可以这样写:if test="status == 'y'.toString()"
2、like语句中通配符的使用:百分号、下划线和escape
% 代表任意多个字符
_ 代表一个字符
escape
使用escape关键字定义转义符。在模式中,当转义符置于通配符之前时,该通配符就解释为普通字符。例如,要搜索在任意位置包含字符串5% 的字符串,则是:
'escape_character' 允许在字符串中搜索通配符而不是将其作为通配符使用。escape_character 是放在通配符前表示此特殊用途的字符。
比如,我们要搜索一个字符串 "g_" ,如果直接 like"g_",那么 "_"的作用就是通配符,而不是字符,结果,我们会查到比如 "ga","gb","gc",而不是我们需要的 "g_". 用 LIKE 'gs_' ESCAPE 'S' 's'表示特殊用法标志。
3、处理大小于号等符号
第一种方法:
用了转义字符把>和<替换掉,比如。
附:XML转义字符
第二种方法:
因为这个是xml格式的,所以不允许出现类似“>”这样的字符,但是都可以使用<![CDATA[ ]]>符号进行说明,将此类符号不进行解析。
mapper文件示例代码
4、#和$的区别
1)、#将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by "111", 如果传入的值是id,则解析成的sql为order by "id".
2). $将传入的数据直接显示生成在sql中。如:order by $user_id$,如果传入的值是111,那么解析成sql时的值为order by user_id, 如果传入的值是id,则解析成的sql为order by id.
3). #方式能够很大程度防止sql注入。
4).$方式无法防止Sql注入。
5).$方式一般用于传入数据库对象,例如传入表名.
6).一般能用#的就别用$.
MyBatis排序时使用order by 动态参数时需要注意,用$而不是#
5、foreach循环语句
在mybatis的mapper配置文件中,可以利用<foreach>标签实现sql条件的循环,可完成类似批量的sql。
mybatis接受的参数分为:(1)基本类型(2)对象(3)List(4)数组(5)Map
无论传哪种参数给mybatis,他都会将参数放在一个Map中:
6、使用注意
SQL语句只有值的地方可以用,其余地方一律不行,比如table,column,order by clause ,group by clause等。
ibatis 用#变量#实现预处理,用$变量$实现事前拼接。
错误写法:if test="status == 'Y'"
结果:抛异常NumberFormatException异常!提示内容非常少,看不出问题在哪里!
正确写法:if test='status == "y"'
还可以这样写:if test="status == 'y'.toString()"
2、like语句中通配符的使用:百分号、下划线和escape
% 代表任意多个字符
<!--数据:email dsenze164245@16dsenze.com--> select * from user where email like '%zel'; select * from user where email like 'dsen%'; select * from user where email like '%zel%';
_ 代表一个字符
select * from user where email like '_'; select * from user where email like 'dsen_'; select * from user where email like 'h_dsen';
escape
使用escape关键字定义转义符。在模式中,当转义符置于通配符之前时,该通配符就解释为普通字符。例如,要搜索在任意位置包含字符串5% 的字符串,则是:
where email like '%5/%%' escape '/';
'escape_character' 允许在字符串中搜索通配符而不是将其作为通配符使用。escape_character 是放在通配符前表示此特殊用途的字符。
select * from user where description like 'g_' escape 'S';
比如,我们要搜索一个字符串 "g_" ,如果直接 like"g_",那么 "_"的作用就是通配符,而不是字符,结果,我们会查到比如 "ga","gb","gc",而不是我们需要的 "g_". 用 LIKE 'gs_' ESCAPE 'S' 's'表示特殊用法标志。
3、处理大小于号等符号
第一种方法:
用了转义字符把>和<替换掉,比如。
SELECT * FROM test WHERE 1 = 1 AND start_date <= CURRENT_DATE AND end_date >= CURRENT_DATE
附:XML转义字符
第二种方法:
因为这个是xml格式的,所以不允许出现类似“>”这样的字符,但是都可以使用<![CDATA[ ]]>符号进行说明,将此类符号不进行解析。
mapper文件示例代码
<![CDATA[ when min(starttime)<='12:00' and max(endtime)<='12:00' ]]>
4、#和$的区别
1)、#将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by "111", 如果传入的值是id,则解析成的sql为order by "id".
2). $将传入的数据直接显示生成在sql中。如:order by $user_id$,如果传入的值是111,那么解析成sql时的值为order by user_id, 如果传入的值是id,则解析成的sql为order by id.
3). #方式能够很大程度防止sql注入。
4).$方式无法防止Sql注入。
5).$方式一般用于传入数据库对象,例如传入表名.
6).一般能用#的就别用$.
MyBatis排序时使用order by 动态参数时需要注意,用$而不是#
5、foreach循环语句
<foreach collection="listTag" index="index" item="tag" open="(" separator="," close=")"> </foreach>
在mybatis的mapper配置文件中,可以利用<foreach>标签实现sql条件的循环,可完成类似批量的sql。
mybatis接受的参数分为:(1)基本类型(2)对象(3)List(4)数组(5)Map
无论传哪种参数给mybatis,他都会将参数放在一个Map中:
6、使用注意
SQL语句只有值的地方可以用,其余地方一律不行,比如table,column,order by clause ,group by clause等。
ibatis 用#变量#实现预处理,用$变量$实现事前拼接。
相关文章推荐
- SQL 15405 Sql 18452 SQL2005 233 SQL常见问题处理方法
- 关于mybatis无法输出sql语句的问题
- MVC4.0 sql脚本、跨站脚本(XSS)、跨站伪造请求(CSRF)三种常见安全问题处理
- mybatis foreach in查询语句 关于逗号 空值处理问题
- Mybatis:关于动态生成sql语句的一些问题
- MyBatis的一系列问题的处理(遍历Map集合和智能标签和属性和字段不一样的解决办法 和sql片段)(三)
- 关于如何处理JSONObject.fromObject(Object obj)无法转换特殊日期(java.sql.Date,java.sql.Timestamp)格式的问题。
- 关于sql语句中的单引号(‘ ) 和双引号(“) 的处理问题?
- 关于对字符串、数组处理的常见问题与方法,如获取带有空格字符串长度,数组长度等。getline(),sprintf()使用。
- 关于SQL处理能力的问题
- 关于mybatis插件tk.mybatis生成的动态sql语句字段不加``的问题
- SQL面试常见问题处理:查询和删除重复记录
- 关于如何处理JSONObject.fromObject(Object obj)无法转换特殊日期(java.sql.Date,java.sql.Timestamp)格式的问题。
- mybatis动态sql解决关于There is no getter for property named 'certitype'错误问题
- T-sql GroupBy语句常见问题处理
- 关于润乾报表里SQL执行速度的问题处理方式
- mybatis常见问题处理:批量操作,传递多个参数,like语句写法等等
- 动态他Transact-SQL语句处理中的常见问题演示.sql
- 几个常见的关于日期的问题
- 解决SqlTransaction用尽的问题(SQL处理超时)