MyBatis-plus中@Select注解的参数传递方式:sql.xml 配置参数使用:#{},#param# 不要使用 ${} 此种方式容易出现 SQL 注入

已于 2025-01-16 15:25:36 修改
阅读量2.8k 收藏
点赞数
分类专栏: 数据库技能 文章标签: mybatis java mysql
于 2023-03-22 14:57:40 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/z929118967/article/details/129706016
版权
本文介绍了MyBatis-plus中@Select注解的参数传递方式,包括普通类型传递和使用条件构造器作为参数的方法。详细讲解了如何通过条件构造器自定义SQL,并给出了相关案例。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

文章目录

引言

在MyBatis中,使用@Select注解进行查询操作时,参数的传递方式取决于SQL语句中的占位符。

  • @Select的参数传递

${value}将会被传递的参数值直接替换,如果参数是用户输入,这可能导致SQL注入问题。因此,尽量避免使用${},除非你完全控制变量的内容。

  • 使用条件构造器作为参数 (wrapper自定义sql)

在自定义 SQL 时,传递 Wrapper 对象作为参数时,参数名必须为 ew,或者使用注解 @Param(Constants.WRAPPER) 明确指定参数为 Wrapper 对象。

I @Select的参数传递

1.1 普通类型传递

MyBatis支持使用#{}${}两种占位符,其中

了解本专栏 订阅专栏 解锁全文 超级会员免费看
MyBatis中的@Param注解-如何传入多个不同类型的参数
l_q_l的专栏
04-23 226
通常使用普通参数传递java对象传递、@param别名映射传递。
MySQL 数据库 :ORM (Object-Relational Mapping,对象关系映射)规约 【sql.xml 配置参数使用#{},#param# 防止SQL 注入
专注于计算机研发知识和资讯分享
01-16 92
事务会影响数据库的 QPS,另外使用事务的地方需要考虑各方面的回滚方案,包括缓存回滚、搜索引擎回滚、消息补偿、统计修正等。查询字段必须明确写明。
mybatis like传值
07-27
mybatis
MybatisMybatis-plus常用注解
AWen_Jack的博客
03-20 1406
mybatismybatis-plus常用注解
mybatisplus @Select传参列表
yfanjy的博客
10-22 4185
mybatisplus @Select传参列表 直接看示例: 列表处理: dictids = dictids + "'" +defineInfo.getDictionaryId() + "',"; } 处理结果示例: '80500460','15874218','75106467','13010881','74244402','40883530','26553563','34135343','28425507','54467705','27436447','77228748','1731054','413
关于Mybatis的select 查询时 传递多个参数的4种方式
光头迪迦
12-11 1万+
下面给大家总结了以下几种多参数传递的方法。 方法1:顺序传参法 public User selectUser(String name, int deptId); <select id="selectUser" resultMap="UserResultMap"> select * from user where user_name = #{0} and dept...
Mybatis中用@Select参数
m0_67402026的博客
04-21 4192
一般情况 @select(“select * from user where name = #{name}”) List selectUserByName (String name) 高级用法 @Select(“select * from userf where name like CONCAT(’%’,#{s},’%’)”) List selectLikename(String s); concat拼接字符串 CONCAT(’%’,#{0},’%’)") 不能直接用 ‘%#{s}%’ ...
mybatisPlus 使用@Select @Update等注解配置SQL参数传递
Rosen's
11-28 4530
今天在一个项目上增加接口,发现先驱们都是把sql写到注解里面的,我也就这么写了。sql里面需要传参,参数判断空时,需要用到。首先,我个人还是推崇将所有的sql都写到xml里面去,比较直观易读,以便于维护。表达式,测试时发现怎么都有问题,命名是空,但if居然还进了我的sql。当然,不排除维护一些老项目,或者其它神仙队友喜欢这么写。最后,通过将所有的sql包裹在。
Spring Boot入门(14):使用Mybatis-Plus轻松实现高效自定义SQL操作!
热门推荐
**My Coding Family**
08-20 3万+
如何使用Mybatis-Plus执行自定义SQL,一文教会你。
深入解析 MyBatis-Plus 批量操作:原理、实现与性能优化&MyBatis参数映射机制详解
最新发布
lucky_love816的博客
03-26 1335
MyBatis-Plus 的 saveBatch 方法本质是 逐条插入,生成多条 INSERT 语句,性能低下(1万条数据约 3秒)。/*** 自定义MP的批量插入操作*/@Override。
mybatis@Select注解实现动态参数传递
Lauuii_的博客
02-15 2679
使用script标签包裹sql就能使用mybatis中的if标签以及其他标签。
mybatis-plus@Select注解使用 in 参数时的sql写法
ws - 兮的博客空间
03-07 1万+
使用 in 处理方法: 1、使用xml 方式 (不讲解) 2、使用 foreach 读取in 参数(如下) 原sql 正常sql 如下使用了in参数,如果 mybatis@Select 注解使用in ,无法使用List 传递参数, 当然直接传递string参数也是不对的,逗号分隔参数会被当成1个参数 select spu.spu_category_id,spu.name ,spu.desc...
mybatis框架中的参数传递
yuluo的博客
01-26 628
mybatis框架中的参数传递 参数:通过java程序把数据传入到mapper文件中的sql语句中,主要是指dao接口方法中的形参 第一个参数 parameterType 第一种用法:全限定名称 表示的是参数的类型,指定dao方法中的形参的数据类型,这个形参的数据类型是给mybatis在给sql语句赋值的时候使用的。 在jdbc中有一个PreparStatment.setXXX(位置,值) 可以设定参数的值 <select id="selectById" parameterType=
Mybatis参数传递
ljf12138的博客
11-04 1741
传递参数6种方式:(以select为例) 1.传递单个简单类型的参数(掌握) 2.传递多个简单类型的参数(掌握) 3.传递对象类型的参数(掌握) 4.传递位置代表参数 5.传递Map类型的参数 6.使用${ }代表参数 7.分页实例 ============================================================= 以下介绍都使用表stud...
mybatis-plus项目中自带要编写sql语句,@select注解使用
qq_49249150的博客
10-28 1万+
现在mybatis-plus中已经封装了绝大部分简单sql,只用一部分负责sql需要自行编写,所以用@select方式可以减少开发量,减少项目的复杂性。@selectmybatis-plus中能够为了方便开发人员自行编写sql的一个注解代码如下(示例): 这里需要注意第一种写法是正常写了mapper.xml情况下的, 第二种写法就是使用@select注解以后的,只需要将sql语句写进select注解内,注意参数名与方法内的参数名称要一致,需要在每个参数后面加@param来标注@select这个注解对于
mybatis-plus@Select注解联表查询实现分页】
2301_78658028的博客
08-15 3197
通过这个子查询实现的联表查询,得到的结果每个用户对应的订单不管有多少个分页时都算做一条数据,否则就会出现每个用户对应的订单号每有一个订单就算做一个数据,这样分页时同一个用户的不同订单就会被分散在不同页面。
mybatisplus使用@Select
weixin_43440893的博客
09-06 1万+
dao文件下 @Select("SELECT DISTINCT name FROM `ck` where company = '顺网' and deleted = 1") List<CkEntity> listCompany(QueryWrapper<CkEntity> wrapper); @Select("SELECT count(*) FROM `ck` where company = '顺网' and deleted = 1" + " and nam
Mybatis-Plus动态SQL注解的实现案例研究
5. **@Param注解**:用于方法参数传递,方便在动态SQL语句中使用参数### 知识点三:MyBatis-Plus动态注解案例 在本案例中,将介绍如何使用MyBatis-Plus提供的动态注解来实现动态SQL的功能。主要涉及到以下几个...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

java、iOS、Vue

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值