亲宝软件园·资讯

展开

foreach拼接字符串查询无数据返回

轻点 别打脸 人气:0

foreach拼接字符串查询无数据返回

Mybatis-plus xml使用foreach遍历查询条件,填充IN函数时,查询不到数据

入参 List<String>[A,B,C,D,E,F]

 WHERE sku_code IN
 <foreach collection="listHistoryBrowseDateVO.list" item="skuCode" index="index" open="(" close=")"
          separator=",">
     #{skuCode}
 </foreach>

以上代码在迭代器中,给IN函数赋值的时候,使用的是#{ }占位符号,最后解析出的sql是:

WHERE sku_code IN (A,B,C,D,E,F)不符合IN函数填充查询格式。

两种解决方式

1、将入参处理为: String ‘A’,‘B’,‘C’,‘D’,‘E’,‘F’,然后使用占位符 WHERE sku_code IN (#{}) 直接填充

2、入参处理为:List [ ‘A’,‘B’,‘C’,‘D’,‘E’,‘F’],使用迭代器+拼接符${}

入参 List<String>   [  'A','B','C','D','E','F']

 WHERE sku_code IN
 <foreach collection="listHistoryBrowseDateVO.list" item="skuCode" index="index" open="(" close=")"
          separator=",">
     ${skuCode}
 </foreach>

Mybatis-plus #{} 占位符,${}拼接符,在sql解析的时是有区别的

精讲#{}和${}的区别是什么?

经常碰到这样的面试题目:#{}和${}的区别是什么?

网上的答案是:

#{}是预编译处理,${}是字符串替换。mybatis在处理#{}时,会将sql中的#{}替换为?号,调用PreparedStatement的set方法来赋值;mybatis在处理${}时,就是把${}替换成变量的值。使用#{}可以有效的防止SQL注入,提高系统安全性。

对于这个问题我感觉要抓住两点

(1)$符号一般用来当作占位符,常使用Linux脚本的人应该对此有更深的体会吧。既然是占位符,当然就是被用来替换的。知道了这点就能很容易区分$和#,从而不容易记错了。

(2)预编译的机制。预编译是提前对SQL语句进行预编译,而其后注入的参数将不会再进行SQL编译。我们知道,SQL注入是发生在编译的过程中,因为恶意注入了某些特殊字符,最后被编译成了恶意的执行操作。而预编译机制则可以很好的防止SQL注入。

最后想说的是,对于mybatis以及sql而言,每一个考点背后都是有一个深刻的思想存在的,应该好好的体会。这样才能真正的做到技术提升,成为技术大牛。

以上为个人经验,希望能给大家一个参考,也希望大家多多支持。 

加载全部内容

相关教程
猜你喜欢
用户评论