亲宝软件园·资讯

展开

mybatis中关于in的使用方法及说明

等樱花的龙猫 人气:0

mybatis in的使用方法

很多人都想着拼接字符串用比如in(‘1’,‘2’)这样的方式去获取数据,其实没有这个必要,mybatis有foreach方法来自动用这样的数据

如下:

比如传入的是roleIdList

//上面省略
xxxxx
WHERE ROLE_ID in
        <foreach collection="list" item="item" index="index" open="(" separator="," close=")">
            #{item}
        </foreach>

mybatis使用in做范围查询的坑

错误展示

List<WmRecommendpic> selectPicListByMap(@Param("recommendIds")String recommendIds);
<select id="selectPicListByMap" resultType="xx.xx.WmRecommendpic"     parameterType="java.util.Map">
        
        SELECT * FROM `WmRecommendpic` 
        WHERE type_id IN (
            SELECT DISTINCT type_id FROM `wm_relationship` 
            WHERE recommend_id IN (#{recommendIds})
            AND is_valid=TRUE)
        AND is_valid=TRUE
        ORDER BY id ASC
</select>

由于#是不能识别的 所以有两种改法

改法1

<select id="selectPicListByMap" resultType="xx.xx.WmRecommendpic"     parameterType="java.util.Map">
        
        SELECT * FROM `WmRecommendpic` 
        WHERE type_id IN (
            SELECT DISTINCT type_id FROM `wm_relationship` 
            WHERE recommend_id IN (${recommendIds})
            AND is_valid=TRUE)
        AND is_valid=TRUE
        ORDER BY id ASC
</select>

为啥能这样改?

当参数采用:#{} : 解析为一个 JDBC 预编译语句(prepared statement)的参数标记符,一个 #{ } 被解析为一个参数占位符 。${}: 仅仅为一个纯碎的 string 替换,在动态 SQL 解析阶段将会进行变量替换。

这种改法看似简单,但是会有安全隐患,容易遭黑客跨脚本攻击。

所以推荐第二种改法。

改法2

List<WmRecommendpic> selectPicListByMap(Map<String,Object> map);
Map<String,Object> map = new HashMap<>();
map.put("recommendIds", recommendId.split(","));
		
return this.dao.selectPicListByMap(map);
<select id="selectPicListByMap" resultType="cn.smarthse.modules.platform.entity.apps.WmRecommendpic" parameterType="java.util.Map">
		
		SELECT * FROM `wm_recommendpic` 
		WHERE type_id IN (
			SELECT DISTINCT type_id FROM `wm_relationship` 
			WHERE recommend_id IN 
			<foreach item="recommendId" index="index" collection="recommendIds"   open="(" separator="," close=")">  
	              #{recommendId}   
	    	</foreach> 
			AND is_valid=TRUE)
		AND is_valid=TRUE
		ORDER BY id ASC
</select>

这里还是使用#{},这样就不会遭受跨脚本的攻击了。

总结

以上为个人经验,希望能给大家一个参考,也希望大家多多支持。

加载全部内容

相关教程
猜你喜欢
用户评论