0
点赞
收藏
分享

微信扫一扫

Mybatis-动态SQL

RJ_Hwang 2023-04-02 阅读 79

什么是动态SQL?

  • 动态 SQL 是 MyBatis 的强大特性之一。顾名思义,就是会动的SQL,即是能够灵活的根据某种条件拼接出完整的SQL语句。这种类似于MySQL中的case when then else then end....这种语法,能够根据某种条件动态的拼接出需要的SQL。
  • 至于Mybatis如何实现动态SQL呢,Mybatis提供了非常多的标签,能够让我们在XML文件中灵活的运用这些标签达到拼接SQL的目的。

常用的标签

<center>if

  • 只有判断条件为true才会执行其中的SQL语句。
  • 举个栗子:HIS系统中医护人员需要根据特定条件筛选患者,比如住院号,床位,性别等。当然这些条件并不是必填的,具体的功能截图如下: HIS系统
<select id ='selectPats' resultType='com.xxx.domain.PatientInfo'>
  select * from patient_info 
  where status=1
  <!--前端传来的住院号不为null,表示需要根据住院号筛选,此时Where语句就需要加上这个条件-->
  <if test="iptNum!=null">
      and ipt_num=#{iptNum}
  </if>
  
  <!--床位号筛选-->
  <if test="bedNum!=null">
      and bed_num=#{bedNum}
  </if>
</select
  • <if>标签中的属性test用来指定判断条件,那么问题来了,上面的例子中的test中判断条件都是一个条件,如果此时变成两个或者多个条件呢?和SQL的语法类似,and连接即可,如下:
  <if test="bedNum!=null and bedNum!='' ">
      and bed_num=#{bedNum}
  </if>

<center>choose、when、otherwise

  • 有时候,我们不想使用所有的条件,而只是想从多个条件中选择一个使用。针对这种情况,MyBatis 提供了 choose 元素,它有点像 Java 中的 switch 语句。
<select id="selectPats"
     resultType="com.xxx.domain.PatientInfo">
  select * from patient_info where 1=1
  <choose>
    <!--住院号不为null时,根据住院号查找-->
    <when test="iptNum != null">
      AND ipt_num=#{iptNum}
    </when>
    <!--床位号不是NUll-->
    <when test="bedNum != null">
      AND bed_num = #{bedNum}
    </when>
    <otherwise>
      AND status=1
    </otherwise>
  </choose>
</select>
  • MyBatis 提供了 choose 元素,按顺序判断 when 中的条件出否成立,如果有一个成立,则 choose 结束。当 choose 中所有 when 的条件都不满则时,则执行 otherwise 中的 sql。类似于 Java 的 switch 语句,choose 为 switch,when 为 case,otherwise 则为default。

<center>where

  • where 元素只会在子元素返回任何内容的情况下才插入 WHERE 子句。而且,若子句的开头为 AND 或 OR,where 元素也会将它们去除。
<select id="selectPats"
     resultType="com.xxx.domain.PatientInfo">
  select * from patient_info
    <where>
        <choose>
          <!--住院号不为null时,根据住院号查找-->
          <when test="iptNum != null">
            AND ipt_num=#{iptNum}
          </when>
          <!--床位号不是NUll-->
          <when test="bedNum != null">
            AND bed_num = #{bedNum}
          </when>
          <otherwise>
            AND status=1
          </otherwise>
        </choose>
   </where>
</select>

<center>foreach

  • foreach是用来对集合的遍历,这个和Java中的功能很类似。通常处理SQL中的in语句。
  • foreach 元素的功能非常强大,它允许你指定一个集合,声明可以在元素体内使用的集合项(item)和索引(index)变量。它也允许你指定开头与结尾的字符串以及集合项迭代之间的分隔符。这个元素也不会错误地添加多余的分隔符
  • 你可以将任何可迭代对象(如 List、Set 等)、Map 对象或者数组对象作为集合参数传递给 foreach。当使用可迭代对象或者数组时,index 是当前迭代的序号,item 的值是本次迭代获取到的元素。当使用 Map 对象(或者 Map.Entry 对象的集合)时,index 是键,item 是值。
<select id="selectPats" resultType="com.xxx.domain.PatientInfo">
  SELECT *
  FROM patient_info 
  WHERE ID in
  <foreach item="item" index="index" collection="list"
      open="(" separator="," close=")">
        #{item}
  </foreach>
</select>

属性 含义 备注
item 表示在迭代过程中每一个元素的别名
index 表示在迭代过程中每次迭代到的位置(下标)
open 前缀
close 后缀
separator 分隔符,表示迭代时每个元素之间以什么分隔

<center> set

eg:

<update id="updateStudent" parameterType="Object">
    UPDATE STUDENT
    SET NAME = #{name},
    MAJOR = #{major},
    HOBBY = #{hobby}
    WHERE ID = #{id};
</update>

<update id="updateStudent" parameterType="Object">
    UPDATE STUDENT SET
    <if test="name!=null and name!='' ">
        NAME = #{name},
    </if>
    <if test="hobby!=null and hobby!='' ">
        MAJOR = #{major},
    </if>
    <if test="hobby!=null and hobby!='' ">
        HOBBY = #{hobby}
    </if>
    WHERE ID = #{id};
</update>
  • 面的例子中没有使用 if 标签时,如果有一个参数为 null,都会导致错误。当在 update 语句中使用 if 标签时,如果最后的 if 没有执行,则或导致逗号多余错误。使用 set 标签可以将动态的配置 set 关键字,和剔除追加到条件末尾的任何不相关的逗号。
  • 使用 set+if 标签修改后,如果某项为 null 则不进行更新,而是保持数据库原值。此时的查询如下:
<update id="updateStudent" parameterType="Object">
    UPDATE STUDENT
    <set>
        <if test="name!=null and name!='' ">
            NAME = #{name},
        </if>
        <if test="hobby!=null and hobby!='' ">
            MAJOR = #{major},
        </if>
        <if test="hobby!=null and hobby!='' ">
            HOBBY = #{hobby}
        </if>
    </set>
    WHERE ID = #{id};
</update>

<center> sql

<!-- 查询字段 -->
<sql id="Base_Column_List">
    ID,MAJOR,BIRTHDAY,AGE,NAME,HOBBY
</sql>

<!-- 查询条件 -->
<sql id="Example_Where_Clause">
    where 1=1
    <trim suffixOverrides=",">
        <if test="id != null and id !=''">
            and id = #{id}
        </if>
        <if test="major != null and major != ''">
            and MAJOR = #{major}
        </if>
        <if test="birthday != null ">
            and BIRTHDAY = #{birthday}
        </if>
        <if test="age != null ">
            and AGE = #{age}
        </if>
        <if test="name != null and name != ''">
            and NAME = #{name}
        </if>
        <if test="hobby != null and hobby != ''">
            and HOBBY = #{hobby}
        </if>
    </trim>
</sql>

<center> include

  • 这个标签和<sql>是天仙配,是共生的,include用于引用sql标签定义的常量。比如引用上面sql标签定义的常量,如下
<select id="selectAll" resultMap="BaseResultMap">
    SELECT
    <include refid="Base_Column_List" />
    FROM student
    <include refid="Example_Where_Clause" />
</select>

  • refid这个属性就是指定<sql>标签中的id值(唯一标识)。

Mybatis中如何避免魔数

  • 开过阿里巴巴开发手册的大概都知道代码中是不允许出现魔数的,何为魔数?简单的说就是一个数字,一个只有你知道,别人不知道这个代表什么意思的数字。通常我们在Java代码中都会定义一个常量类专门定义这些数字。
  • 比如获取医生和护士的权限,但是医生和护士的权限都不相同,在这条SQL中肯定需要根据登录的类型type来区分,比如type=1是医生,type=2是护士,估计一般人会这样写:
<if test="type!=null and type==1">
    -- ....获取医生的权限
</if>

<if test="type!=null and type==2">
    -- ....获取护士的权限
</if>

  • 这样写也没什么错,但是一旦这个type代表的含义变了,那你是不是涉及到的SQL都要改一遍。
  • 开发中通常定义一个常量类,如下:
package com.xxx.core.Constants;
public class CommonConstants{
  //医生
  public final static int DOC_TYPE=1;
  
  //护士
  public final static int NUR_TYPE=2;
  
}

  • 那么此时的SQL应该如何写呢?如下
<if test="type!=null and type==@com.xxx.core.Constants.CommonConstants@DOC_TYPE">
    -- ....获取医生的权限
</if>

<if test="type!=null and type==@com.xxx.core.Constants.CommonConstants@NUR_TYPE">
    -- ....获取护士的权限
</if>
  • 就是这么简单,就是@+全类名+@+常量。

如何引用其他XML中的SQL片段

  • 实际开发中你可能遇到一个问题,比如这个resultMap或者这个<sql>片段已经在另外一个xxxMapper.xml中已经定义过了,此时当前的xml还需要用到,难不成我复制一份?小白什么也不问上来就复制了,好吧,后期修改来了,每个地方都需要修改了。难受不?
  • 其实Mybatis中也是支持引用其他Mapper文件中的SQL片段的。其实很简单,比如你在com.xxx.dao.xxMapper这个Mapper的XML中定义了一个SQL片段如下
<sql id="Base_Column_List">
    ID,MAJOR,BIRTHDAY,AGE,NAME,HOBBY
</sql>

此时我在com.xxx.dao.PatinetMapper中的XML文件中需要引用

 <include refid="com.xxx.dao.xxMapper.Base_Column_List"></include>

  • 类似于Java中的全类名。

SQL 注入 一定要用 #{}

QL注入攻击,简称SQL攻击或注入攻击,是发生于应用程序之数据库层的安全漏洞。、
简而言之,是在输入的字符串之中注入SQL指令,在设计不良的程序当中忽略了检查,
那么这些注入进去的指令就会被数据库服务器误认为是正常的SQL指令而运行,因此遭到破坏或是入侵。
最常见的就是我们在应用程序中使用字符串联结方式组合 SQL 指令,有心之人就会写一些特殊的符号,恶意篡改原本的 SQL 语法的作用,达到注入攻击的目的。
举个栗子:
比如验证用户登录需要 username 和 password,编写的 SQL 语句如下:
select * from user where (name = '"+ username +"') and (pw = '"+ password +"');
username 和 password 字段被恶意填入
username = "1' OR '1'='1";
与
password = "1' OR '1'='1";
将导致原本的 SQL 字符串被填为:
select * from user where (name = '1' or '1'='1') and (pw = '1' or '1'='1');
实际上运行的 SQL 语句将变成:
select * from user;
也就是不再需要 username 和 password 账密即达到登录的目的,结果不言而喻。

我们使用 mybatis 编写 SQL 语句时,难免会使用模糊查询的方法,mybatis 提供了两种方式 #{} 和 ${} 。
#{value} 在预处理时,会把参数部分用一个占位符 ? 替代,其中 value 表示接受输入参数的名称。能有效解决 SQL 注入问题
${} 表示使用拼接字符串,将接受到参数的内容不加任何修饰符拼接在 SQL 中,使用${}拼接 sql,将引起 SQL 注入问题。

other

MyBatis应用程序根据XML配置文件创建SqlSessionFactory,
SqlSessionFactory在根据配置,配置来源于两个地方,一处是配置文件,一处是Java代码的注解,
获取一个SqlSession。SqlSession包含了执行sql所需要的所有方法,
可以通过SqlSession实例直接运行映射的sql语句,完成对数据的增删改查和事务提交等,用完之后关闭SqlSession。
<select id="findUserById" parameterType="int" resultType="cn.itcast.mybatis.po.User">
		SELECT * FROM user  where id=#{value}
	</select>
id:标识映射文件的sql,称为statement的id
		将来sql语句会封装到mapperedstatement对象中
		所以将id称为statement的id

举报

相关推荐

0 条评论