的、、、语句 一、
这条语句就叫做‘,有一个参数,并返回一个类型的对象。
注意参数的标识是:#{}。
语句属性配置细节:
属性描述取值默认
id
在这个模式下唯一的标识符,可被其它语句引用
传给此语句的参数的完整类名或别名
语句返回值类型的整类名或别名。注意,如果是集合,那么这里填写的是集合的项的整类名或别名,而不是集合本身的类名。( 与 不能并用)
引用的外部 名。结果集映射是 中最强大的特性。许多复杂的映射都可以轻松解决。( 与 不能并用)
如果设为true,则会在每次语句调用的时候就会清空缓存。 语句默认设为false
true/false
false
如果设为true,则语句的结果集将被缓存。 语句默认设为false
true/false
false
设置驱动器在抛出异常前等待回应的最长时间,默认为不设值,由驱动器自己决定
正整数
未设置
设置一个值后,驱动器会在结果集数目达到此数值后,激发返回,默认为不设值,由驱动器自己决定
正整数
驱动器决定
,,。预准备语句、可调用语句
、、
、、 只转发,滚动敏感,不区分大小写的滚动
、、
驱动器决定
二、
一个简单的语句:
INSERT INTO STUDENT_TBL (STUDENT_ID,
STUDENT_NAME,
STUDENT_SEX,
STUDENT_BIRTHDAY,
CLASS_ID)
VALUES (#{studentID},
#{studentName},
#{studentSex},
#{studentBirthday},
#{classEntity.classID})
可以使用数据库支持的自动生成主键策略,设置=”true”,然后把 设成对应的列,就搞定了。比如说上面的 使用auto- 为id 列生成主键.
推荐使用这种用法。
另外,还可以使用元素。下面例子,使用MySQL数据库(‘’)为自定义函数,用来生成一个key。
select nextval('student')
INSERT INTO STUDENT_TBL (STUDENT_ID,
STUDENT_NAME,
STUDENT_SEX,
STUDENT_BIRTHDAY,
CLASS_ID)
VALUES (#{studentID},
#{studentName},
#{studentSex},
#{studentBirthday},
#{classEntity.classID})
语句属性配置细节:
属性描述取值默认
id
在这个模式下唯一的标识符,可被其它语句引用
传给此语句的参数的完整类名或别名
如果设为true,则会在每次语句调用的时候就会清空缓存。 语句默认设为false
true/false
false
如果设为true,则语句的结果集将被缓存。 语句默认设为false
true/false
false
设置驱动器在抛出异常前等待回应的最长时间,默认为不设值,由驱动器自己决定
正整数
未设置
设置一个值后,驱动器会在结果集数目达到此数值后,激发返回,默认为不设值,由驱动器自己决定
正整数
驱动器决定
、、。预准备语句、可调用语句
、、
告诉 使用JDBC 的 方法来获取数据库自己生成的主键(MySQL、 等关系型数据库会有自动生成的字段)。默认:false
true/false
false
标识一个将要被设置进的key 所返回的值,或者为 语句使用一个子元素。
语句属性配置细节:
属性描述取值
语句生成结果需要设置的属性。
生成结果类型, 允许使用基本的数据类型,包括 、int类型。
order
可以设成 或者AFTER,如果设为,那它会先选择主键,然后设置,再执行语句;如果设为AFTER,它就先运行 语句再运行 语句,通常是 语句中内部调用数据库(像)内嵌的序列机制。
/AFTER
像上面的那样, 支持,和 的语句形式, 对应 , 和 响应
、、
批量插入
方法一:
INSERT INTO TStudent(name,age) VALUES(#{item.name}, #{item.age})
上述方式相当语句逐条语句执行,将出现如下问题:
1. 接口的add方法返回值将是最一条语句的操作成功的记录数目(就是0或1),而不是所有语句的操作成功的总记录数目
2. 当其中一条不成功时,不会进行整体回滚。
方法二:
INSERT INTO STUDENT_TBL (STUDENT_NAME,
STUDENT_SEX,
STUDENT_BIRTHDAY,
CLASS_ID)
VALUES
( #{item.studentName},#{item.studentSex},#{item.studentBirthday},#{item.classEntity.classID})
三、
一个简单的:
UPDATE STUDENT_TBL
SET STUDENT_TBL.STUDENT_NAME = #{studentName},
STUDENT_TBL.STUDENT_SEX = #{studentSex},
STUDENT_TBL.STUDENT_BIRTHDAY = #{studentBirthday},
STUDENT_TBL.CLASS_ID = #{classEntity.classID}
WHERE STUDENT_TBL.STUDENT_ID = #{studentID};
语句属性配置细节:
属性描述取值默认
id
在这个模式下唯一的标识符,可被其它语句引用
传给此语句的参数的完整类名或别名
如果设为true,则会在每次语句调用的时候就会清空缓存。 语句默认设为false
true/false
false
如果设为true,则语句的结果集将被缓存。 语句默认设为false
true/false
false
设置驱动器在抛出异常前等待回应的最长时间,默认为不设值,由驱动器自己决定
正整数
未设置
设置一个值后,驱动器会在结果集数目达到此数值后,激发返回,默认为不设值,由驱动器自己决定
正整数
驱动器决定
、、。预准备语句、可调用语句
、、
批量更新
情景一:更新多条记录为多个字段为不同的值
方法一:
update course
name=${item.name}
where id = ${item.id}
比较普通的写法,是通过循环,依次执行语句。
方法二:
UPDATE TStudent SET Name = R.name, Age = R.age
from (
SELECT 'Mary' as name, 12 as age, 42 as id
union all
select 'John' as name , 16 as age, 43 as id
) as r
where ID = R.id情景二:更新多条记录的同一个字段为同一个值
update orders set state = '0' where no in
#{id}
四、
一个简单的:
DELETE FROM STUDENT_TBL WHERE STUDENT_ID = #{studentID}
语句属性配置细节同
批量删除:
DELETE FROM LD_USER WHERE ID in
#{item}
五、sql元素
Sql元素用来定义一个可以复用的SQL 语句段,供其它语句调用。比如:
SELECT ST.STUDENT_ID,
ST.STUDENT_NAME,
ST.STUDENT_SEX,
ST.STUDENT_BIRTHDAY,
ST.CLASS_ID
FROM STUDENT_TBL ST
这样,在的语句中就可以直接引用使用了,将上面语句改成:
六、
上面很多地方已经用到了参数,比如查询、修改、删除的条件,插入,修改的数据等,可以使用Java的基本数据类型和Java的复杂数据类型。如:基本数据类型,,int,date等。
但是使用基本数据类型,只能提供一个参数,所以需要使用Java实体类,或Map类型做参数类型。通过#{}可以直接得到其属性。
1、基本类型参数
根据入学时间,检索学生列表:
List studentList = studentMapper.getStudentListByClassYear(StringUtil.parse("2007-9-1"));
for (StudentEntity entityTemp : studentList) {
System.out.println(entityTemp.toString());
} 2、Java实体类型参数
根据姓名和性别,检索学生列表。使用实体类做参数:
StudentEntity entity = new StudentEntity();
entity.setStudentName("李");
entity.setStudentSex("男");
List studentList = studentMapper.getStudentListWhereEntity(entity);
for (StudentEntity entityTemp : studentList) {
System.out.println(entityTemp.toString());
} 3、Map参数
根据姓名和性别,检索学生列表。使用Map做参数:
Map map = new HashMap();
map.put("sex", "女");
map.put("name", "雪");
List studentList = studentMapper.getStudentListWhereMap(map); for (StudentEntity entityTemp : studentList) {
System.out.println(entityTemp.toString());
} 4、多参数的实现
如果想传入多个参数,则需要在接口的参数上添加@Param注解。给出一个实例:
接口写法:
public List getStudentListWhereParam(@Param(value = "name") String name, @Param(value = "sex") String sex, @Param(value = "birthday") Date birthdar, @Param(value = "classEntity") ClassEntity classEntity); sql写法:
进行查询:
List studentList = studentMapper.getStudentListWhereParam("","",StringUtil.parse("1985-05-28"), classMapper.getClassByID("20000002"));
for (StudentEntity entityTemp : studentList) {
System.out.println(entityTemp.toString());
} 七、#{}与${}的区别
默认情况下,使用#{}语法,会产生语句中,并且安全的设置参数,这个过程中会进行必要的安全检查和转义。
示例1:
执行SQL: * from emp where name = #{}
参数:=>Smith
解析后执行的SQL: * from emp where name = ?
执行SQL: * from emp where name = ${}
参数:传入值为:Smith
解析后执行的SQL: * from emp where name =Smith
说明:
1.#将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #{},如果传入的值是111,那么解析成sql时的值为order by “111”, 如果传入的值是id,则解析成的sql为order by “id”.
2.$将传入的数据直接显示生成在sql中。如:order by ${},如果传入的值是111,那么解析成sql时的值为order by 111, 如果传入的值是id,则解析成的sql为order by id.
综上所述,${}方式会引发SQL注入的问题、同时也会影响SQL语句的预编译,所以从安全性和性能的角度出发,能使用#{}的情况下就不要使用${}。
${}在什么情况下使用呢?
有时候可能需要直接插入一个不做任何修改的字符串到SQL语句中。这时候应该使用${}语法。
比如,动态SQL中的字段名,如:ORDER BY ${}
由于${}仅仅是简单的取值,所以以前sql注入的方法适用此处,如果我们order by语句后用了${},那么不做任何处理的时候是存在sql注入危险的。
参考文章:
发表评论:
◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。