`

iBatis动态sql

阅读更多

一、

ibatis中拼接sql,先要转换为字符串,否则乱码

CONCAT(CAST(if(count(1)=0,0,count(if(t3.ine='E',1,null))/count(1))*100 AS char(10)),'%') 

 

 

二、

(1) 输入参数为单个值

Xml代码  收藏代码
  1. <delete id="com.fashionfree.stat.accesslog.deleteMemberAccessLogsBefore"   
  2. parameterClass="long">   
  3. delete from   
  4. MemberAccessLog   
  5. where   
  6. accessTimestamp = #value#   
  7. </delete>   

 
(2) 输入参数为一个对象

 

Xml代码  收藏代码
  1. <insert id="com.fashionfree.stat.accesslog.MemberAccessLog.insert"   
  2. parameterClass="com.fashionfree.stat.accesslog.model.MemberAccessLog>   
  3. insert into MemberAccessLog   
  4. (   
  5. accessLogId, memberId, clientIP,   
  6. httpMethod, actionId, requestURL,   
  7. accessTimestamp, extend1, extend2,   
  8. extend3   
  9. )   
  10. values   
  11. (   
  12. #accessLogId#, #memberId#,   
  13. #clientIP#, #httpMethod#,   
  14. #actionId#, #requestURL#,   
  15. #accessTimestamp#, #extend1#,   
  16. #extend2#, #extend3#   
  17. )   
  18. </insert>   

 

(3) 输入参数为一个java.util.HashMap 

Xml代码  收藏代码
  1. <select id="com.fashionfree.stat.accesslog.selectActionIdAndActionNumber"   
  2. parameterClass="hashMap"   
  3. resultMap="getActionIdAndActionNumber">   
  4. select   
  5. actionId, count(*) as count   
  6. from   
  7. MemberAccessLog   
  8. where   
  9. memberId = #memberId#   
  10. and accessTimestamp &gt; #start#   
  11. and accessTimestamp &lt;= #end#   
  12. group by actionId   
  13. </select>  

 

  (4) 输入参数中含有数组

   

Xml代码  收藏代码
  1. <insert id="updateStatusBatch" parameterClass="hashMap">   
  2. update   
  3. Question   
  4. set   
  5. status = #status#   
  6. <dynamic prepend="where questionId in">   
  7. <isNotNull property="actionIds">   
  8. <iterate property="actionIds" open="(" close=")" conjunction=",">   
  9. #actionIds[]#   
  10. </iterate>   
  11. </isNotNull>   
  12. </dynamic>   
  13. </insert>   

   说明:actionIds为传入的数组的名字; 
   使用dynamic标签避免数组为空时导致sql语句语法出错; 
   使用isNotNull标签避免数组为null时ibatis解析出错

 

   (5)传递参数只含有一个数组 
  

Xml代码  收藏代码
  1. <select id="com.fashionfree.stat.accesslog.model.StatMemberAction.selectActionIdsOfModule"   
  2. resultClass="hashMap">   
  3. select   
  4. moduleId, actionId   
  5. from   
  6. StatMemberAction   
  7. <dynamic prepend="where moduleId in">   
  8. <iterate open="(" close=")" conjunction=",">   
  9. #[]#   
  10. </iterate>   
  11. </dynamic>   
  12. order by   
  13. moduleId   
  14. </select>   

    说明:注意select的标签中没有parameterClass一项 
       另:这里也可以把数组放进一个hashMap中,但增加额外开销,不建议使用

 

   (6)让ibatis把参数直接解析成字符串 
  

Xml代码  收藏代码
  1. <select id="com.fashionfree.stat.accesslog.selectSumDistinctCountOfAccessMemberNum"   
  2. parameterClass="hashMap" resultClass="int">   
  3. select   
  4. count(distinct memberId)   
  5. from   
  6. MemberAccessLog   
  7. where   
  8. accessTimestamp &gt;= #start#   
  9. and accessTimestamp &lt; #end#   
  10. and actionId in $actionIdString$   
  11. </select>  

    说明:使用这种方法存在sql注入的风险,不推荐使用

 

    (7)分页查询 (pagedQuery)

   

Java代码  收藏代码
  1. <select id="com.fashionfree.stat.accesslog.selectMemberAccessLogBy"   
  2. parameterClass="hashMap" resultMap="MemberAccessLogMap">   
  3. <include refid="selectAllSql"/>   
  4. <include refid="whereSql"/>   
  5. <include refid="pageSql"/>   
  6. </select>   
  7. <select id="com.fashionfree.stat.accesslog.selectMemberAccessLogBy.Count"   
  8. parameterClass="hashMap" resultClass="int">   
  9. <include refid="countSql"/>   
  10. <include refid="whereSql"/>   
  11. </select>   
  12. <sql id="selectAllSql">   
  13. select   
  14. accessLogId, memberId, clientIP,   
  15. httpMethod, actionId, requestURL,   
  16. accessTimestamp, extend1, extend2,   
  17. extend3   
  18. from   
  19. MemberAccessLog   
  20. </sql>   
  21. <sql id="whereSql">   
  22. accessTimestamp &lt;= #accessTimestamp#   
  23. </sql>   
  24. <sql id="countSql">   
  25. select   
  26. count(*)   
  27. from   
  28. MemberAccessLog   
  29. </sql>   
  30. <sql id="pageSql">   
  31. <dynamic>   
  32. <isNotNull property="startIndex">   
  33. <isNotNull property="pageSize">   
  34. limit #startIndex# , #pageSize#   
  35. </isNotNull>   
  36. </isNotNull>   
  37. </dynamic>   
  38. </sql>   

   说明:本例中,代码应为: 
   HashMap hashMap = new HashMap(); 
   hashMap.put(“accessTimestamp”, someValue); 
   pagedQuery(“com.fashionfree.stat.accesslog.selectMemberAccessLogBy”, hashMap); 
   pagedQuery方法首先去查找名为com.fashionfree.stat.accesslog.selectMemberAccessLogBy.Count 的mapped statement来进行sql查询,从而得到com.fashionfree.stat.accesslog.selectMemberAccessLogBy查询的记录个数, 
再进行所需的paged sql查询(com.fashionfree.stat.accesslog.selectMemberAccessLogBy),具体过程参见utils类中的相关代码


(8)sql语句中含有大于号>、小于号<

    1. 将大于号、小于号写为: &gt; &lt; 如: 

Xml代码  收藏代码
  1. <delete id="com.fashionfree.stat.accesslog.deleteMemberAccessLogsBefore" parameterClass="long">   
  2. delete from   
  3. MemberAccessLog   
  4. where   
  5. accessTimestamp &lt;= #value#   
  6. </delete>   

 

    2. 将特殊字符放在xml的CDATA区内: 

Xml代码  收藏代码
  1. <delete id="com.fashionfree.stat.accesslog.deleteMemberAccessLogsBefore" parameterClass="long">   
  2. <![CDATA[  
  3. delete from  
  4. MemberAccessLog  
  5. where  
  6. accessTimestamp <= #value#  
  7. ]]>   
  8. </delete>   

   推荐使用第一种方式,写为&lt; 和 &gt; (XML不对CDATA里的内容进行解析,因此如果CDATA中含有dynamic标签,将不起作用) 

(9)include和sql标签 
   将常用的sql语句整理在一起,便于共用: 

Xml代码  收藏代码
  1. <sql id="selectBasicSql">   
  2. select   
  3. samplingTimestamp,onlineNum,year,   
  4. month,week,day,hour   
  5. from   
  6. OnlineMemberNum   
  7. </sql>   
  8. <sql id="whereSqlBefore">   
  9. where samplingTimestamp &lt;= #samplingTimestamp#   
  10. </sql>   
  11. <select id="com.fashionfree.accesslog.selectOnlineMemberNumsBeforeSamplingTimestamp" parameterClass="hashmap" resultClass="OnlineMemberNum">   
  12. <include refid="selectBasicSql" />   
  13. <include refid="whereSqlBefore" />   
  14. </select>   

    注意:sql标签只能用于被引用,不能当作mapped statement。如上例中有名为selectBasicSql的sql元素,试图使用其作为sql语句执行是错误的: 
    sqlMapClient.queryForList(“selectBasicSql”); ×

(10)随机选取记录

Xml代码  收藏代码
  1. <sql id=”randomSql”>   
  2. ORDER BY rand() LIMIT #number#   
  3. </sql>   

    从数据库中随机选取number条记录(只适用于MySQL)

 

(11)将SQL GROUP BY分组中的字段拼接

Xml代码  收藏代码
  1. <sql id=”selectGroupBy>   
  2. SELECT   
  3. a.answererCategoryId, a.answererId, a.answererName,   
  4. a.questionCategoryId, a.score, a.answeredNum,   
  5. a.correctNum, a.answerSeconds, a.createdTimestamp,   
  6. a.lastQuestionApprovedTimestamp, a.lastModified, GROUP_CONCAT(q.categoryName) as categoryName   
  7. FROM   
  8. AnswererCategory a, QuestionCategory q   
  9. WHERE a.questionCategoryId = q.questionCategoryId   
  10. GROUP BY a.answererId   
  11. ORDER BY a.answererCategoryId   
  12. </sql>  

    注:SQL中使用了MySQL的GROUP_CONCAT函数

(12) 按照IN里面的顺序进行排序

    ①MySQL: 

Xml代码  收藏代码
  1. <sql id=”groupByInArea”>   
  2. select   
  3. moduleId, moduleName,   
  4. status, lastModifierId, lastModifiedName,   
  5. lastModified   
  6. from   
  7. StatModule   
  8. where   
  9. moduleId in (3, 5, 1)   
  10. order by   
  11. instr(',3,5,1,' , ','+ltrim(moduleId)+',')   
  12. </sql>   

    

②SQLSERVER:

Xml代码  收藏代码
  1. <sql id=”groupByInArea”>   
  2. select   
  3. moduleId, moduleName,   
  4. status, lastModifierId, lastModifiedName,   
  5. lastModified   
  6. from   
  7. StatModule   
  8. where   
  9. moduleId in (3, 5, 1)   
  10. order by   
  11. charindex(','+ltrim(moduleId)+',' , ',3,5,1,')   
  12. </sql>  

    说明:查询结果将按照moduleId在in列表中的顺序(3, 5, 1)来返回 
    MySQL : instr(str, substr) 
    SQLSERVER: charindex(substr, str) 
    返回字符串str 中子字符串的第一个出现位置 
    ltrim(str) 
    返回字符串str, 其引导(左面的)空格字符被删除

(13) resultMap 
    
resultMap负责将SQL查询结果集的列值映射成Java Bean的属性值。

Xml代码  收藏代码
  1. <resultMap class="java.util.HashMap" id="getActionIdAndActionNumber">   
  2. <result column="actionId" property="actionId" jdbcType="BIGINT" javaType="long"/>   
  3. <result column="count" property="count" jdbcType="INT" javaType="int"/>   
  4. </resultMap>   

   使用resultMap称为显式结果映射,与之对应的是resultClass(内联结果映射),使用resultClass的最大好处便是简单、方便,不需显示指定结果,由iBATIS根据反射来确定自行决定。而resultMap则可以通过指定jdbcType和javaType,提供更严格的配置认证。


(14) typeAlias

Xml代码  收藏代码
  1. <typeAlias alias="MemberOnlineDuration" type="com.fashionfree.stat.accesslog.model.MemberOnlineDuration" />   
  2. <typeAlias>允许你定义别名,避免重复输入过长的名字。  

 

(15) remap

Xml代码  收藏代码
  1. <select id="testForRemap" parameterClass="hashMap" resultClass="hashMap" remapResults="true">   
  2. select   
  3. userId   
  4. <isEqual property="tag" compareValue="1">   
  5. , userName   
  6. </isEqual>   
  7. <isEqual property="tag" compareValue="2">   
  8. , userPassword   
  9. </isEqual>   
  10. from   
  11. UserInfo   
  12. </select>   

  此例中,根据参数tag值的不同,会获得不同的结果集,如果没有remapResults="true"属性,iBatis会将第一次查询时的结果集缓存,下次再执行时(必须还是该进程中)不会再执行结果集映射,而是会使用缓存的结果集。 
因此,如果上面的例子中remapResult为默认的false属性,而有一段程序这样书写: 

Java代码  收藏代码
  1. HashMap<String, Integer> hashMap = new HashMap<String, Integer>();   
  2. hashMap.put("tag", 1);   
  3. sqlClient.queryForList("testForRemap", hashMap);   
  4. hashMap.put("tag", 2);   
  5. sqlClient.queryForList("testForRemap", hashMap);   

 则程序会在执行最后一句的query查询时报错,原因就是iBATIS使用了第一次查询时的结果集,而前后两次的结果集是不同的:(userId, userName)和(userId, userPassword),所以导致出错。如果使用了remapResults="true"这一属性,iBATIS会在每次执行查询时都执行结果集映射,从而避免错误的发生(此时会有较大的开销)。 

(16) dynamic标签的prepend

  dynamic标签的prepend属性作为前缀添加到结果内容前面,当标签的结果内容为空时,prepend属性将不起作用。 
当dynamic标签中存在prepend属性时,将会把其嵌套子标签的第一个prepend属性忽略。例如:

Xml代码  收藏代码
  1. <sql id="whereSql">   
  2. <dynamic prepend="where ">   
  3. <isNotNull property="userId" prepend="BOGUS">   
  4. userId = #userId#   
  5. </isNotNull>   
  6. <isNotEmpty property="userName" prepend="and ">   
  7. userName = #userName#   
  8. </isNotEmpty>   
  9. </dynamic>   
  10. </sql>  

  

此例中,dynamic标签中含有两个子标签<isNotNull>和<isNotEmpty>。根据前面叙述的原则,如果<isNotNull>标签中没有prepend="BOGUS" 这一假的属性来让dynamic去掉的话,<isNotEmpty>标签中的and就会被忽略,会造成sql语法错误。 
   注意:当dynamic标签没有prepend属性时,不会自动忽略其子标签的第一个prepend属性。 

 

 

三、

iBatis解决sql注入

(1) ibatis xml配置:下面的写法只是简单的转义 namelike '%$name$%'

(2) 这时会导致sql注入问题,比如参数name传进一个单引号“'”,生成的sql语句会是:name like '%'%'

(3) 解决方法是利用字符串连接的方式来构成sql语句 name like '%'||'#name#'||'%'

(4) 这样参数都会经过预编译,就不会发生sql注入问题了。

(5) #与$区别:

#xxx# 代表xxx是属性值,map里面的key或者是你的pojo对象里面的属性,ibatis会自动在它的外面加上引号,表现在sql语句是这样的 where xxx = 'xxx' ;

$xxx$ 则是把xxx作为字符串拼接到你的sql语句中, 比如 order by topicId , 语句这样写 ... order by #xxx#,ibatis 就会把他翻译成 order by 'topicId' (这样就会报错) 语句这样写 ... order by $xxx$ibatis 就会把他翻译成 order by topicId

 
SELECT *   FROM user  WHERE username like '%$username$%'  的安全写法

Sql代码

SELECT *         FROM user        WHERE username like '%'  || #username# || '%'  

SELECT * FROM user WHERE username like '%' || #username# || '%' 

       其实上面的语句是针对Oracle 的,对于不同数据字符串连接符不一样。现列举mysql和SQLServer如下:

     

Mysql

Sql代码
SELECT *         FROM user        WHERE username like CONCAT('%', #username#, '%')  

SQLServer:

Sql代码
SELECT *         FROM user        WHERE username like '%' + #username# +  '%'  

-----------------------------------------------------------------------------------------------------------------------------

      关于数据库字符串连接符简单列举我使用过的一些数据库如下:

 

Oracle SQLServer Mysql DB2
|| 或 CONCAT() + CONCAT() || 或 CONCAT()
分享到:
评论

相关推荐

    ibatis动态SQL标签用法

    iBatis动态SQL标签用法 iBatis是Java持久层框架,提供了动态SQL标签来实现动态查询。动态SQL标签可以根据不同的条件生成不同的SQL语句,从而提高查询效率和灵活性。 动态SQL片段 iBatis提供了动态SQL片段的功能,...

    转ibatis动态sql - phoebus0501 - 博客园.mht

    转ibatis动态sql - phoebus0501 - 博客园.mht

    IBATIS动态sql - 紫晶幻治 - 51CTO技术博客.mht

    IBATIS动态sql - 紫晶幻治 - 51CTO技术博客.mht

    基于iBATIS动态SQL的应用研究.pdf

    iBATIS 的核心在于POJO(Plain Old Java Object)与SQL之间的映射关系,而不是自动生成SQL语句。这意味着开发者需要手动编写SQL,然后通过配置文件将SQL的参数和返回结果映射到对应的Java对象。 iBATIS 提供了灵活...

    iBatis的动态SQL语句

    ### iBatis中的动态SQL语句详解 #### 引言 在进行数据库操作时,我们经常需要根据不同的条件构建不同的SQL语句。这种需求在实际开发中极为常见,尤其是在处理复杂的查询逻辑时。iBatis(现在通常被称为MyBatis)...

    ibatis的dynamicSQL中,关于prepend的使用

    在探讨ibatis中的动态SQL(Dynamic SQL)及`prepend`的使用时,我们首先需要对ibatis有一个基本的理解。ibatis是一种开源的数据访问层框架,它简化了Java应用程序与数据库之间的交互过程。通过使用XML配置文件来定义...

    ibatis 开发指南 和 iBATIS-SqlMaps两本图书

    5. **动态SQL**:讲解如何使用iBATIS的动态元素来构建灵活的SQL语句,以应对复杂的查询需求。 6. **API使用**:介绍SqlSession、SqlSessionFactory、Executor等关键接口和类的使用方法。 7. **缓存机制**:解释...

    iBATIS-SqlMaps2入门代码文档

    ### iBATIS-SqlMaps2入门代码文档知识点详解 #### 一、简介 iBATIS-SqlMaps2是一款用于简化Java应用程序与数据库交互过程的框架。该框架通过配置文件定义了对象关系映射规则,使得开发者能够更加专注于业务逻辑而...

    iBATIS-SqlMaps-2-Tutorial_cn.pdf

    iBATIS-SqlMaps-2-Tutorial_cniBATIS-SqlMaps-2-Tutorial_cn.pdf.pdfiBATIS-SqlMaps-2-Tutorial_cn.pdfiBATIS-SqlMaps-2-Tutorial_cn.pdf

    打log4j日志-ibatis的sql输出

    对于Ibatis,这是一个轻量级的持久层框架,它将SQL语句与Java代码分离,提供了动态SQL的能力。在默认情况下,Ibatis并不会自动打印执行的SQL语句,但通过配置,我们可以使Ibatis在运行时输出SQL,这对于调试和性能...

    ibatis-sqlmaps-2_cn

    此外,教程还会涵盖动态SQL,这是IBATIS的一大亮点,允许在运行时构建和修改SQL语句,提高了代码的复用性和可维护性。 在使用IBATIS的过程中,你可能会遇到参数映射和结果映射的问题。《ibatis-sqlmaps-2_cn》将...

    [iBATIS]sql转换工具

    [iBATIS]sql转换工具 简单哦~ 项目组自己写的哦~分享给大家了

    iBATIS-SqlMaps-中文教程

    5. **动态SQL**:iBATIS的一大亮点是其强大的动态SQL能力,可以实现条件查询、循环拼接SQL等复杂逻辑,无需编写大量Java代码。 6. **Mapper接口**:iBATIS 2.3版本引入了Mapper接口,将XML配置与Java代码更好地结合...

    ibatis动态注入

    iBATIS,作为一款优秀的持久层框架,提供了强大的动态SQL功能,解决了直接使用JDBC时编写复杂动态SQL的难题。本文将深入探讨iBATIS动态注入的相关知识点。 iBATIS动态SQL主要通过XML映射文件中的特定标签实现,允许...

    webwork+ibatis+sqlserver2000

    iBATIS允许直接在SQL语句中处理复杂的查询和事务管理,同时提供了一种动态和灵活的方式来映射结果集到Java对象。 【SQL Server 2000】:这是微软发布的关系型数据库管理系统,主要用于存储、管理和检索数据。SQL ...

    iBATIS-SqlMaps-2-Tutorial_cn

    动态SQL是iBATIS的一大特色,它允许在SQL语句中使用条件判断、循环等逻辑,极大地增强了SQL的灵活性。 本书首先会引导读者理解iBATIS的基本架构,然后详细介绍如何创建和配置SqlMap,以及如何编写映射文件。映射...

    iBATIS-SqlMaps-2_cn1.pdf

    iBATIS-SqlMaps ibatis入门教程,教你如何做配置ibatis

    查看ibatis后台sql

    通过java程序查看ibatis配置文件中的sql语句(注:无法查看变量值)

    根据MyBatis或iBatis的SQLMapper文件反向生成数据库表

    生成数据库表结构: 根据解析得到的SQL语句中的表名、字段名、数据类型等信息,动态地生成相应的数据库表结构。这可以通过编程语言与数据库操作的API来实现,比如Java中的JDBC或者MyBatis/iBatis提供的API。 执行SQL...

Global site tag (gtag.js) - Google Analytics