给寻找编程代码教程的朋友们精选了相关的编程文章,网友能书文根据主题投稿了本篇教程内容,涉及到mybatis in、mybatis使用in、mybatis in的使用方法相关内容,已被893网友关注,下面的电子资料对本篇知识点有更加详尽的解释。
mybatis in的使用方法
mybatis in的使用方法
很多人都想着拼接字符串用比如in(‘1’,‘2’)这样的方式去获取数据,其实没有这个必要,mybatis有foreach方法来自动用这样的数据
如下:
比如传入的是roleIdList
//上面省略 xxxxx WHERE ROLE_ID in <foreach collection="list" item="item" index="index" open="(" separator="," close=")"> #{item} </foreach>
mybatis使用in做范围查询的坑
错误展示
List<WmRecommendpic> selectPicListByMap(@Param("recommendIds")String recommendIds); <select id="selectPicListByMap" resultType="xx.xx.WmRecommendpic" parameterType="java.util.Map"> SELECT * FROM `WmRecommendpic` WHERE type_id IN ( SELECT DISTINCT type_id FROM `wm_relationship` WHERE recommend_id IN (#{recommendIds}) AND is_valid=TRUE) AND is_valid=TRUE ORDER BY id ASC </select>
由于#是不能识别的 所以有两种改法
改法1
<select id="selectPicListByMap" resultType="xx.xx.WmRecommendpic" parameterType="java.util.Map"> SELECT * FROM `WmRecommendpic` WHERE type_id IN ( SELECT DISTINCT type_id FROM `wm_relationship` WHERE recommend_id IN (${recommendIds}) AND is_valid=TRUE) AND is_valid=TRUE ORDER BY id ASC </select>
为啥能这样改?
当参数采用:#{} : 解析为一个 JDBC 预编译语句(prepared statement)的参数标记符,一个 #{ } 被解析为一个参数占位符 。${}: 仅仅为一个纯碎的 string 替换,在动态 SQL 解析阶段将会进行变量替换。
这种改法看似简单,但是会有安全隐患,容易遭黑客跨脚本攻击。
所以推荐第二种改法。
改法2
List<WmRecommendpic> selectPicListByMap(Map<String,Object> map);
Map<String,Object> map = new HashMap<>(); map.put("recommendIds", recommendId.split(",")); return this.dao.selectPicListByMap(map);
<select id="selectPicListByMap" resultType="cn.smarthse.modules.platform.entity.apps.WmRecommendpic" parameterType="java.util.Map"> SELECT * FROM `wm_recommendpic` WHERE type_id IN ( SELECT DISTINCT type_id FROM `wm_relationship` WHERE recommend_id IN <foreach item="recommendId" index="index" collection="recommendIds" open="(" separator="," close=")"> #{recommendId} </foreach> AND is_valid=TRUE) AND is_valid=TRUE ORDER BY id ASC </select>
这里还是使用#{},这样就不会遭受跨脚本的攻击了。
总结
以上为个人经验,希望能给大家一个参考,也希望大家多多支持码农之家。