MyBatis核心概念详解:占位符、结果映射、类型别名与Mapper代理模式
MyBatis核心概念详解:占位符、结果映射、类型别名与Mapper代理模式
MyBatis是一个优秀的持久层框架,它支持定制化SQL、存储过程以及高级映射。为了更好地使用MyBatis,开发者需要理解一些关键概念,如占位符、结果映射、类型别名和Mapper代理模式。本文将详细介绍这些概念及其应用场景。
${..}和#{..} 占位符
#{..}
#{}实现的是向prepareStatement中的预处理语句中设置参数值,sql语句中#{}表示一个占位符即?。
<!-- 根据id查询用户信息 -->
<select id="findUserById" parameterType="int" resultType="user">
select * from user where id = #{id}
</select>
使用占位符#{}可以有效防止sql攻击
- 使用
#{}防止SQL注入攻击的底层代码如下
// SQL查询语句,使用占位符 ?
String query = "SELECT * FROM users WHERE username = ? AND password = ?";
try (Connection conn = DriverManager.getConnection(dbURL, username, password)) {
if (conn != null) {
// 创建PreparedStatement对象
PreparedStatement pstmt = conn.prepareStatement(query);
// 设置参数
pstmt.setString(1, userInputUsername); // 第一个占位符
pstmt.setString(2, userInputPassword); // 第二个占位符
}
通过上面的代码可以发现,将 传递的参数 和 sql 语句进行分离。在预编译阶段,sql 语句作为创建 preparedStatement 对象的参数,就已经确定好了。因此即使用户 进行sql 注入攻击 ,无论你输入什么,都当成一般的数据。而不会被拼接到sql 语句去。成为新的sql 语句。
什么是sql 攻击呢?
假设当前是登录界面(不使用#{}可能会遭受sql攻击)
不管你之前输入了,什么,如果你后面添加这种 or 1=1这种类似的
最后拼接到查询的sql 语句中,即使之前输入错误也可以成功。这就是因为 sql 注入导致的sql 攻击
使用#{..}的好处
- 预防sql 攻击
- 在 mybatis 框架 映射文件,不需要手动为 传递的数据为字符串 ,添加单引号。最会实现自动添加
${..}
应用场景:${..}占位符 多用于 字符串拼接
${..}和#{..}的区别
${..}无法预防sql 攻击,当传递参数后,会直接 和 sql 语句 进行拼接,改变原有sql 语句所表达的含义
${..}在模糊查询中,效果更大
案例
${..}和#{..}使用模糊查询,查询数据,在 映射文件中的sql语句,测试类传递的参数 表现不同的形式
项目准备
目的:基于mybatis 框架 基础 使用 模糊查询 查 关于 l 的所有用户信息
使用 #{} 在 映射文件 的sql 语句
select * from tb_login where username like #{username};
测试类
List<Login> list = sqlSession.selectList("getLoginByM", "%l%");
for (Login login : list) {
System.out.println("id: "+login.getId()+"用户名: "+login.getUsername()+"密码: "+login.getPassword());
}
效果展示
使用 ${} 在 映射文件 的sql 语句
select * from tb_login where username like'%${m}%';
测试类
List<Login> list = sqlSession.selectList("getLoginByM", "l");
for (Login login : list) {
System.out.println("id: "+login.getId()+"用户名: "+login.getUsername()+"密码: "+login.getPassword());
}
效果展示
发现 在上面使用 #{..} 传递参数 时需要添加,%;而 ${..} 因为在书写 sql 语句就已经拼接好 %,因此传递参数时,就不再需要添加
resultType 和 resultMap
1. resultType的使用场景
- 定义:
resultType是 MyBatis 中用于指定查询结果映射到的 Java 类型。 - 特点:
- 简单映射:
resultType通常用于简单的情况,比如查询结果直接映射到基本数据类型(如
int
、
String
、
Date
等)或简单对象(如
User
、
Product
等)。 - 限制:当查询结果的列名与实体类的属性名完全匹配时,可以直接使用
resultType
。如果查询结果的列名和实体类的属性名不匹配,或者查询结果包含嵌套对象(如关联对象),则不能直接使用resultType
。 - 不支持复杂映射:
resultType不支持复杂的结果映射,比如嵌套对象、多表关联查询等。
2. resultMap的使用场景
- 定义:
resultMap是 MyBatis 中用于定义复杂的结果映射规则。 - 特点:
- 复杂映射:
resultMap可以处理复杂的情况,比如多表关联查询、嵌套对象、嵌套集合等。 - 灵活性:通过
resultMap,可以定义列名到属性名的映射规则,支持嵌套结果映射(如一对一、一对多关系)。 - 适用性:
resultMap适用于复杂查询,尤其是当查询结果的列名与实体类的属性名不匹配,或者查询结果包含嵌套对象时。
resultType和resultMap的区别
resultType适用于简单查询,要求查询结果的列名与实体类的属性名完全匹配,不支持复杂的结果映射(如嵌套对象)。与之相反,resultMap可以处理复杂的情况,支持嵌套对象、嵌套集合等,适用于多表关联查询等复杂场景- 使用
resultType要求实体类和数据库之前需要存在映射关系,如果不是则无法将数据,传递给实体类的成员变量。而resultMap不必遵循这种关系
通过图片,可知 数据库的列名和成员变量要求保持一致,在使用resultType
3. resultMap的使用
应用场景:假设是订单和用户的关系。一个用户对应多个订单;一个订单对应一个用户。在实体类User类和实体类对应的映射文件描述这种情况
demo(案例)
User 类
Product 类
mapper/dao UserMapper接口
// 查询用户 所有商品信息
List<Product> queryProduct(User user);
UserMapper.xml映射文件
<resultMap id="order" type="fs.entity.Order">
<!-- id 标签 表示为一个表的主键 column 表示为表中的列名 ,property 表示为 类中的属性名 -->
<id property="id" column="id"/>
<!-- result 标签 表示一般的字段 -->
<result property="name" column="name"/>
<result property="price" column="price"/>
<!--collection 标签 使用 <collection> 处理一对多关系 ,使用 <association> 处理一对一关系 -->
<collection property="products" ofType="fs.entity.Product">
<id property="id" column="pid"/>
<result property="name" column="pname"/>
<result property="price" column="pprice"/>
<!-- <!-
collection:对关联查询到的多条记录映射到集合对象中
property:将查询到的多条记录映射到User类的那个属性中
ofType: 指明集合中的元素的类型
-->
</collection>
</resultMap>
id:唯一标识此resultMap。
type: 指定要映射到的 Java 类型(可以是全限定名或别名)。
**<id>和<result>**子元素分别用于映射主键和普通属性。property属性对应于 Java Bean 的属性名,column属性对应于 SQL 查询结果中的列名。
collection 标签 使用 <collection> 处理一对多关系 ,使用 <association> 处理一对一关系
**association**
association:用于映射关联单个对象信息
property:关联的属性名,就是将用户对象关联到Order的那个属性
javaType: 属性的类型
collection
collection:对关联查询到的多条记录映射到集合对象中
property:将查询到的多条记录映射到User类的那个属性中
ofType: 指明集合中的元素的类型
使用resultMap
在查询语句中引用这个resultMap
<select id="queryProduct" parameterType="fs.entity.User" resultMap="order">
// sql 语句
</select>
typeAliases(类型别名) 的使用
mybatis支持别名
别名 映射的类型
_byte byte
_long long
_short short
_int int
_integer int
_double double
_float float
_boolean boolean
string String
byte Byte
long Long
short Short
int Integer
integer Integer
double Double
float Float
boolean Boolean
date Date
decimal BigDecimal
_bigdecimal BigDecimal
自定义别名
在mybatis-config.xml中配置:
<typeAliases>
<!-- 单个别名定义 -->
<typeAlias alias="user" type="org.csmf.mybatis.entity.User"/>
<!-- 批量别名定义,扫描整个包下的类,别名为类名(首字母大写或小写都可以) -->
<package name=" org.csmf.mybatis.entity "/>
<package name="其它包"/>
</typeAliases>
使用别名:
Mapper 代理模式
了解 原始Dao开发方法
想要了解 Mapper 代理模式 ,就要先知道 原始Dao开发方法
使用Mybatis开发Dao,通常有两个方法,即原始Dao开发方法和Mapper接口开发方法。
传统的DAO开发模式
dao/mapper 持久层接口中的方法
/**
* 根据ID查询User
* @param id 用户Id
* @return 用户信息
* @throws Exception
*/
public User findUserById(int id) throws Exception;
dao/mapper 持久层 接口实现 类
//需要往UserDaoImpl注入SQLSessionFactory
private SqlSessionFactory sqlSessionFactory;
//通过构造方法注入
public UserDaoImpl(SqlSessionFactory sqlSessionFactory) {
this.sqlSessionFactory = sqlSessionFactory;
}
@Override
public User findUserById(int id) throws Exception {
/**
* 1.得到SqlSession
* 2.调用SqlSession对应的方法(selectOne)来操作数据库
* 3.关闭SqlSession
* 4.返回结果
*/
SqlSession sqlSession = sqlSessionFactory.openSession();
User user = sqlSession.selectOne("test.findUserById", id);
sqlSession.close();
return user;
}
发现如果在接口中写很多关于操作数据库的方法,那么在接口的实现类中,每次都需要创建sqlSession 对象。基于代码的重复,于是使用依靠 Java动态代理技术的mapper 代理模式
mapper 代理模式
mapper 代理模式,被mybatis 官方所推崇。因此 很多情况 实现 dao/mapper持久层 的操作 都是使用 mapper 代理模式
mapper 代理模式 的优点
mapper 代理模式 省略了 接口的实现类,使用 映射文件 书写需要的sql 语句,具体如何去实现接口的方法有代理对象调用
代理类去实现对应的接口,调用 相关方法,这些操作都已经封装好了。不需要人为创建代理类,完成这些操作,更加简单,方便
mapper 代理模式的原则
在mapper.xml中namespace写的是对应Mapper接口的全限定名
Mapper接口方法名和Mapper.xml中定义的每个标签如select,update等中的id相同
Mapper接口方法的输入参数类型和mapper.xml中定义的每个sql 的parameterType的类型相同