什么是动态SQL?
- 动态 SQL 是 MyBatis 的强大特性之一。顾名思义,就是会动的SQL,即是能够灵活的根据某种条件拼接出完整的SQL语句。这种类似于MySQL中的case when then else then end....这种语法,能够根据某种条件动态的拼接出需要的SQL。
- 至于Mybatis如何实现动态SQL呢,Mybatis提供了非常多的标签,能够让我们在XML文件中灵活的运用这些标签达到拼接SQL的目的。
常用的标签
<center>if
- 只有判断条件为true才会执行其中的SQL语句。
- 举个栗子:HIS系统中医护人员需要根据特定条件筛选患者,比如住院号,床位,性别等。当然这些条件并不是必填的,具体的功能截图如下:
<select id ='selectPats' resultType='com.xxx.domain.PatientInfo'>
select * from patient_info
where status=1
<!--前端传来的住院号不为null,表示需要根据住院号筛选,此时Where语句就需要加上这个条件-->
<if test="iptNum!=null">
and ipt_num=#{iptNum}
</if>
<!--床位号筛选-->
<if test="bedNum!=null">
and bed_num=#{bedNum}
</if>
</select
- <if>标签中的属性test用来指定判断条件,那么问题来了,上面的例子中的test中判断条件都是一个条件,如果此时变成两个或者多个条件呢?和SQL的语法类似,and连接即可,如下:
<if test="bedNum!=null and bedNum!='' ">
and bed_num=#{bedNum}
</if>
<center>choose、when、otherwise
- 有时候,我们不想使用所有的条件,而只是想从多个条件中选择一个使用。针对这种情况,MyBatis 提供了 choose 元素,它有点像 Java 中的 switch 语句。
<select
resultType="com.xxx.domain.PatientInfo">
select * from patient_info where 1=1
<choose>
<!--住院号不为null时,根据住院号查找-->
<when test="iptNum != null">
AND ipt_num=#{iptNum}
</when>
<!--床位号不是NUll-->
<when test="bedNum != null">
AND bed_num = #{bedNum}
</when>
<otherwise>
AND status=1
</otherwise>
</choose>
</select>
- MyBatis 提供了 choose 元素,按顺序判断 when 中的条件出否成立,如果有一个成立,则 choose 结束。当 choose 中所有 when 的条件都不满则时,则执行 otherwise 中的 sql。类似于 Java 的 switch 语句,choose 为 switch,when 为 case,otherwise 则为default。
<center>where
- where 元素只会在子元素返回任何内容的情况下才插入 WHERE 子句。而且,若子句的开头为 AND 或 OR,where 元素也会将它们去除。
<select
resultType="com.xxx.domain.PatientInfo">
select * from patient_info
<where>
<choose>
<!--住院号不为null时,根据住院号查找-->
<when test="iptNum != null">
AND ipt_num=#{iptNum}
</when>
<!--床位号不是NUll-->
<when test="bedNum != null">
AND bed_num = #{bedNum}
</when>
<otherwise>
AND status=1
</otherwise>
</choose>
</where>
</select>
<center>foreach
- foreach是用来对集合的遍历,这个和Java中的功能很类似。通常处理SQL中的in语句。
- foreach 元素的功能非常强大,它允许你指定一个集合,声明可以在元素体内使用的集合项(item)和索引(index)变量。它也允许你指定开头与结尾的字符串以及集合项迭代之间的分隔符。这个元素也不会错误地添加多余的分隔符
- 你可以将任何可迭代对象(如 List、Set 等)、Map 对象或者数组对象作为集合参数传递给 foreach。当使用可迭代对象或者数组时,index 是当前迭代的序号,item 的值是本次迭代获取到的元素。当使用 Map 对象(或者 Map.Entry 对象的集合)时,index 是键,item 是值。
<select resultType="com.xxx.domain.PatientInfo">
SELECT *
FROM patient_info
WHERE ID in
<foreach item="item" index="index" collection="list"
open="(" separator="," close=")">
#{item}
</foreach>
</select>
属性 | 含义 | 备注 |
---|---|---|
item | 表示在迭代过程中每一个元素的别名 | |
index | 表示在迭代过程中每次迭代到的位置(下标) | |
open | 前缀 | |
close | 后缀 | |
separator | 分隔符,表示迭代时每个元素之间以什么分隔 |
<center> set
eg:
<update parameterType="Object">
UPDATE STUDENT
SET NAME = #{name},
MAJOR = #{major},
HOBBY = #{hobby}
WHERE ID = #{id};
</update>
<update parameterType="Object">
UPDATE STUDENT SET
<if test="name!=null and name!='' ">
NAME = #{name},
</if>
<if test="hobby!=null and hobby!='' ">
MAJOR = #{major},
</if>
<if test="hobby!=null and hobby!='' ">
HOBBY = #{hobby}
</if>
WHERE ID = #{id};
</update>
- 面的例子中没有使用 if 标签时,如果有一个参数为 null,都会导致错误。当在 update 语句中使用 if 标签时,如果最后的 if 没有执行,则或导致逗号多余错误。使用 set 标签可以将动态的配置 set 关键字,和剔除追加到条件末尾的任何不相关的逗号。
- 使用 set+if 标签修改后,如果某项为 null 则不进行更新,而是保持数据库原值。此时的查询如下:
<update parameterType="Object">
UPDATE STUDENT
<set>
<if test="name!=null and name!='' ">
NAME = #{name},
</if>
<if test="hobby!=null and hobby!='' ">
MAJOR = #{major},
</if>
<if test="hobby!=null and hobby!='' ">
HOBBY = #{hobby}
</if>
</set>
WHERE ID = #{id};
</update>
<center> sql
<!-- 查询字段 -->
<sql >
ID,MAJOR,BIRTHDAY,AGE,NAME,HOBBY
</sql>
<!-- 查询条件 -->
<sql >
where 1=1
<trim suffixOverrides=",">
<if test="id != null and id !=''">
and id = #{id}
</if>
<if test="major != null and major != ''">
and MAJOR = #{major}
</if>
<if test="birthday != null ">
and BIRTHDAY = #{birthday}
</if>
<if test="age != null ">
and AGE = #{age}
</if>
<if test="name != null and name != ''">
and NAME = #{name}
</if>
<if test="hobby != null and hobby != ''">
and HOBBY = #{hobby}
</if>
</trim>
</sql>
<center> include
- 这个标签和<sql>是天仙配,是共生的,include用于引用sql标签定义的常量。比如引用上面sql标签定义的常量,如下
<select resultMap="BaseResultMap">
SELECT
<include ref />
FROM student
<include ref />
</select>
- refid这个属性就是指定<sql>标签中的id值(唯一标识)。
Mybatis中如何避免魔数
- 开过阿里巴巴开发手册的大概都知道代码中是不允许出现魔数的,何为魔数?简单的说就是一个数字,一个只有你知道,别人不知道这个代表什么意思的数字。通常我们在Java代码中都会定义一个常量类专门定义这些数字。
- 比如获取医生和护士的权限,但是医生和护士的权限都不相同,在这条SQL中肯定需要根据登录的类型type来区分,比如type=1是医生,type=2是护士,估计一般人会这样写:
<if test="type!=null and type==1">
-- ....获取医生的权限
</if>
<if test="type!=null and type==2">
-- ....获取护士的权限
</if>
- 这样写也没什么错,但是一旦这个type代表的含义变了,那你是不是涉及到的SQL都要改一遍。
- 开发中通常定义一个常量类,如下:
package com.xxx.core.Constants;
public class CommonConstants{
//医生
public final static int DOC_TYPE=1;
//护士
public final static int NUR_TYPE=2;
}
- 那么此时的SQL应该如何写呢?如下
<if test="type!=null and type==@com.xxx.core.Constants.CommonConstants@DOC_TYPE">
-- ....获取医生的权限
</if>
<if test="type!=null and type==@com.xxx.core.Constants.CommonConstants@NUR_TYPE">
-- ....获取护士的权限
</if>
- 就是这么简单,就是@+全类名+@+常量。
如何引用其他XML中的SQL片段
- 实际开发中你可能遇到一个问题,比如这个resultMap或者这个<sql>片段已经在另外一个xxxMapper.xml中已经定义过了,此时当前的xml还需要用到,难不成我复制一份?小白什么也不问上来就复制了,好吧,后期修改来了,每个地方都需要修改了。难受不?
- 其实Mybatis中也是支持引用其他Mapper文件中的SQL片段的。其实很简单,比如你在com.xxx.dao.xxMapper这个Mapper的XML中定义了一个SQL片段如下
<sql >
ID,MAJOR,BIRTHDAY,AGE,NAME,HOBBY
</sql>
此时我在com.xxx.dao.PatinetMapper中的XML文件中需要引用
<include refid="com.xxx.dao.xxMapper.Base_Column_List"></include>
- 类似于Java中的全类名。
SQL 注入 一定要用 #{}
QL注入攻击,简称SQL攻击或注入攻击,是发生于应用程序之数据库层的安全漏洞。、
简而言之,是在输入的字符串之中注入SQL指令,在设计不良的程序当中忽略了检查,
那么这些注入进去的指令就会被数据库服务器误认为是正常的SQL指令而运行,因此遭到破坏或是入侵。
最常见的就是我们在应用程序中使用字符串联结方式组合 SQL 指令,有心之人就会写一些特殊的符号,恶意篡改原本的 SQL 语法的作用,达到注入攻击的目的。
举个栗子:
比如验证用户登录需要 username 和 password,编写的 SQL 语句如下:
select * from user where (name = '"+ username +"') and (pw = '"+ password +"');
username 和 password 字段被恶意填入
username = "1' OR '1'='1";
与
password = "1' OR '1'='1";
将导致原本的 SQL 字符串被填为:
select * from user where (name = '1' or '1'='1') and (pw = '1' or '1'='1');
实际上运行的 SQL 语句将变成:
select * from user;
也就是不再需要 username 和 password 账密即达到登录的目的,结果不言而喻。
我们使用 mybatis 编写 SQL 语句时,难免会使用模糊查询的方法,mybatis 提供了两种方式 #{} 和 ${} 。
#{value} 在预处理时,会把参数部分用一个占位符 ? 替代,其中 value 表示接受输入参数的名称。能有效解决 SQL 注入问题
${} 表示使用拼接字符串,将接受到参数的内容不加任何修饰符拼接在 SQL 中,使用${}拼接 sql,将引起 SQL 注入问题。
other
MyBatis应用程序根据XML配置文件创建SqlSessionFactory,
SqlSessionFactory在根据配置,配置来源于两个地方,一处是配置文件,一处是Java代码的注解,
获取一个SqlSession。SqlSession包含了执行sql所需要的所有方法,
可以通过SqlSession实例直接运行映射的sql语句,完成对数据的增删改查和事务提交等,用完之后关闭SqlSession。
<select parameterType="int" resultType="cn.itcast.mybatis.po.User">
SELECT * FROM user where id=#{value}
</select>
id:标识映射文件的sql,称为statement的id
将来sql语句会封装到mapperedstatement对象中
所以将id称为statement的id