11.5MyBatis(进阶)
一.${}和#{}
1.$是直接替换,#是预处理(使用占位符,替换成?).前者不安全(SQL注入), 后者安全.
2.$的使用场景: 如果传递的值是sql的关键字,只能使用$,不能使用#(asc,desc).
二.SQL注入
注意: 如果使用${}进行传参,一定要是可以穷举的,并且要进行安全性验证(例如排序,只能传asc或者desc,否则阻止传递) .
三.模糊查询
1.使用MySQL提供的字符串拼接功能函数: concat.
四.resultMap()
1.设置Map
2.column表示数据库表中的字段名,property表示Java实体类中的属性名。
3.不管上述两者名字是否相同,都需要写明映射关系,否则多表查询会出问题。
注意: 可以使用重命名(as)解决名字不一致问题.
五.多表查询
1.在entity包底下增加一个vo包,然后在vo包下面创建实体类,把要查询的所有字段写进去.
2.写Mapper接口和xml,在xml里使用left join on的方式写sql语句.
注意:Lombok的@Data注解,其中toString()方法默认不会打印继承的属性,如果需要包括父类的属性,要重写.
六.动态SQL
1.if标签
注意: 前后都要改.
2.trim标签,配合if标签.
最前面加"(",最后面加")",去除最后一个","(如果存在),并且必须一个及以上的if标签为真.
注意: 前后都要改.
3.where标签,配合if标签.
a.where标签中的字段可以都为null,这样会查到所有内容,也可以个别为空,传递过去指定的条件.
b.如果其中一个条件为null,会自动去重and关键字,注意要写在前后,如上图所示.
可以用trim标签代替where标签
4.set标签,配合if标签.
set标签会去重最后一个"," .
也可以使用trim标签实现
5.foreach标签
有两个地方的名字要相当,如下所示.
