day09-MyBatis
1. MyBatis 基础操作
学习完 mybatis 入门后,我们继续学习 mybatis 基础操作。
1.1 需求
需求说明:
根据资料中提供的《tlias 智能学习辅助系统》页面原型及需求,完成员工管理的需求开发。
通过分析以上的页面原型和需求,我们确定了功能列表:
查询
根据主键 ID 查询
条件查询
新增
更新
删除
根据主键 ID 删除
根据主键 ID 批量删除
1.2 准备
实施前的准备工作:
准备数据库表
创建一个新的 springboot 工程,选择引入对应的起步依赖(mybatis、mysql 驱动、lombok)
application.properties 中引入数据库连接信息
创建对应的实体类 Emp(实体类属性采用驼峰命名)
准备 Mapper 接口 EmpMapper
准备数据库表
创建一个新的 springboot 工程,选择引入对应的起步依赖(mybatis、mysql 驱动、lombok)
application.properties 中引入数据库连接信息
提示:可以把之前项目中已有的配置信息复制过来即可
创建对应的实体类 Emp(实体类属性采用驼峰命名)
准备 Mapper 接口:EmpMapper
完成以上操作后,项目工程结构目录如下:
1.3 删除
1.3.1 功能实现
页面原型:
当我们点击后面的"删除"按钮时,前端页面会给服务端传递一个参数,也就是该行数据的 ID。 我们接收到 ID 后,根据 ID 删除数据即可。
功能:根据主键删除数据
SQL 语句
Mybatis 框架让程序员更关注于 SQL 语句
接口方法
@Delete 注解:用于编写 delete 操作的 SQL 语句
如果 mapper 接口方法形参只有一个普通类型的参数,
#{…}里面的属性名可以随便写,如:#{id}、#{value}。但是建议保持名字一致。
测试
在单元测试类中通过@Autowired 注解注入 EmpMapper 类型对象
1.3.2 日志输入
在 Mybatis 当中我们可以借助日志,查看到 sql 语句的执行、执行传递的参数以及执行结果。具体操作如下:
打开 application.properties 文件
开启 mybatis 的日志,并指定输出到控制台
开启日志之后,我们再次运行单元测试,可以看到在控制台中,输出了以下的 SQL 语句信息:
但是我们发现输出的 SQL 语句:delete from emp where id = ?,我们输入的参数 16 并没有在后面拼接,id 的值是使用?进行占位。那这种 SQL 语句我们称为预编译 SQL。
1.3.3 预编译 SQL
1.3.3.1 介绍
预编译 SQL 有两个优势:
性能更高
更安全(防止 SQL 注入)
性能更高:预编译 SQL,编译一次之后会将编译后的 SQL 语句缓存起来,后面再次执行这条语句时,不会再次编译。(只是输入的参数不同)
更安全(防止 SQL 注入):将敏感字进行转义,保障 SQL 的安全性。
1.3.3.2 SQL 注入
SQL 注入:是通过操作输入的数据来修改事先定义好的 SQL 语句,以达到执行代码对服务器进行攻击的方法。
由于没有对用户输入进行充分检查,而 SQL 又是拼接而成,在用户输入参数时,在参数中添加一些 SQL 关键字,达到改变 SQL 运行结果的目的,也可以完成恶意攻击。
测试 1:使用资料中提供的程序,来验证 SQL 注入问题
第 1 步:进入到 DOS
第 2 步:执行以下命令,启动程序
第 3 步:打开浏览器输入http://localhost:9090/login.html
发现竟然能够登录成功:
以上操作为什么能够登录成功呢?
由于没有对用户输入内容进行充分检查,而 SQL 又是字符串拼接方式而成,在用户输入参数时,在参数中添加一些 SQL 关键字,达到改变 SQL 运行结果的目的,从而完成恶意攻击。
用户在页面提交数据的时候人为的添加一些特殊字符,使得 sql 语句的结构发生了变化,最终可以在没有用户名或者密码的情况下进行登录。
测试 2:使用资料中提供的程序,来验证 SQL 注入问题
第 1 步:进入到 DOS
第 2 步:执行以下命令,启动程序:
第 3 步:打开浏览器输入http://localhost:9090/login.html
发现无法登录:
以上操作 SQL 语句的执行:
把整个
' or '1'='1作为一个完整的参数,赋值给第 2 个问号(' or '1'='1进行了转义,只当做字符串使用)
1.3.3.3 参数占位符
在 Mybatis 中提供的参数占位符有两种:${...} 、#{...}
#{...}执行 SQL 时,会将
#{…}替换为?,生成预编译 SQL,会自动设置参数值使用时机:参数传递,都使用
#{…}
${...}拼接 SQL。直接将参数拼接在 SQL 语句中,存在 SQL 注入问题
使用时机:如果对表名、列表进行动态设置时使用
注意事项:在项目开发中,建议使用
#{...},生成预编译 SQL,防止 SQL 注入安全。
1.4 新增
功能:新增员工信息
1.4.1 基本新增
员工表结构:
SQL 语句:
接口方法:
说明:#{...} 里面写的名称是对象的属性名
测试类:
日志输出:
1.4.2 主键返回
概念:在数据添加成功后,需要获取插入数据库数据的主键。
如:添加套餐数据时,还需要维护套餐菜品关系表数据。
业务场景:在前面讲解到的苍穹外卖菜品与套餐模块的表结构,菜品与套餐是多对多的关系,一个套餐对应多个菜品。既然是多对多的关系,是不是有一张套餐菜品中间表来维护它们之间的关系。
在添加套餐的时候,我们需要在界面当中来录入套餐的基本信息,还需要来录入套餐与菜品的关联信息。这些信息录入完毕之后,我们一点保存,就需要将套餐的信息以及套餐与菜品的关联信息都需要保存到数据库当中。其实具体的过程包括两步,首先第一步先需要将套餐的基本信息保存了,接下来第二步再来保存套餐与菜品的关联信息。套餐与菜品的关联信息就是往中间表当中来插入数据,来维护它们之间的关系。而中间表当中有两个外键字段,一个是菜品的 ID,就是当前菜品的 ID,还有一个就是套餐的 ID,而这个套餐的 ID 指的就是此次我所添加的套餐的 ID,所以我们在第一步保存完套餐的基本信息之后,就需要将套餐的主键值返回来供第二步进行使用。这个时候就需要用到主键返回功能。
那要如何实现在插入数据之后返回所插入行的主键值呢?
默认情况下,执行插入操作时,是不会主键值返回的。如果我们想要拿到主键值,需要在 Mapper 接口中的方法上添加一个 Options 注解,并在注解中指定属性 useGeneratedKeys=true 和 keyProperty="实体类属性名"
主键返回代码实现:
测试:
1.5 更新
功能:修改员工信息
点击"编辑"按钮后,会查询所在行记录的员工信息,并把员工信息回显在修改员工的窗体上(下个知识点学习)
在修改员工的窗体上,可以修改的员工数据:用户名、员工姓名、性别、图像、职位、入职日期、归属部门
思考:在修改员工数据时,要以什么做为条件呢?
答案:员工 id
SQL 语句:
接口方法:
测试类:
1.6 查询
1.6.1 根据 ID 查询
在员工管理的页面中,当我们进行更新数据时,会点击 “编辑” 按钮,然后此时会发送一个请求到服务端,会根据 Id 查询该员工信息,并将员工数据回显在页面上。
SQL 语句:
接口方法:
测试类:
执行结果:
而在测试的过程中,我们会发现有几个字段(deptId、createTime、updateTime)是没有数据值的
1.6.2 数据封装
我们看到查询返回的结果中大部分字段是有值的,但是 deptId,createTime,updateTime 这几个字段是没有值的,而数据库中是有对应的字段值的,这是为什么呢?
原因如下:
实体类属性名和数据库表查询返回的字段名一致,mybatis 会自动封装。
如果实体类属性名和数据库表查询返回的字段名不一致,不能自动封装。
解决方案:
起别名
结果映射
开启驼峰命名
起别名:在 SQL 语句中,对不一样的列名起别名,别名和实体类属性名一样
再次执行测试类:
手动结果映射:通过 @Results 及@Result 进行手动结果映射
@Results 源代码:
@Result 源代码:
开启驼峰命名(推荐) :如果字段名与属性名符合驼峰命名规则,mybatis 会自动通过驼峰命名规则映射
驼峰命名规则: abc_xyz => abcXyz
表中字段名:abc_xyz
类中属性名:abcXyz
要使用驼峰命名前提是 实体类的属性 与 数据库表中的字段名严格遵守驼峰命名。
1.6.3 条件查询
在员工管理的列表页面中,我们需要根据条件查询员工信息,查询条件包括:姓名、性别、入职时间。
通过页面原型以及需求描述我们要实现的查询:
姓名:要求支持模糊匹配
性别:要求精确匹配
入职时间:要求进行范围查询
根据最后修改时间进行降序排序
SQL 语句:
接口方法:
方式一
以上方式注意事项:
方法中的形参名和 SQL 语句中的参数占位符名保持一致
模糊查询使用
${...}进行字符串拼接,这种方式呢,由于是字符串拼接,并不是预编译的形式,所以效率不高、且存在 sql 注入风险。
方式二(解决 SQL 注入风险)
使用 MySQL 提供的字符串拼接函数:concat('%' , '关键字' , '%')
执行结果:生成的 SQL 都是预编译的 SQL 语句(性能高、安全)
1.6.4 参数名说明
在上面我们所编写的条件查询功能中,我们需要保证接口中方法的形参名和 SQL 语句中的参数占位符名相同。
当方法中的形参名和 SQL 语句中的占位符参数名不相同时,就会出现以下问题:
参数名在不同的 SpringBoot 版本中,处理方案还不同:
在 springBoot 的 2.x 版本(保证参数名一致)
springBoot 的父工程对 compiler 编译插件进行了默认的参数 parameters 配置,使得在编译时,会在生成的字节码文件中保留原方法形参的名称,所以#{…}里面可以直接通过形参名获取对应的值
在 springBoot 的 1.x 版本/单独使用 mybatis(使用@Param 注解来指定 SQL 语句中的参数名)
在编译时,生成的字节码文件当中,不会保留 Mapper 接口中方法的形参名称,而是使用 var1、var2、...这样的形参名字,此时要获取参数值时,就要通过@Param 注解来指定 SQL 语句中的参数名
2. Mybatis 的 XML 配置文件
Mybatis 的开发有两种方式:
注解
XML
2.1 XML 配置文件规范
使用 Mybatis 的注解方式,主要是来完成一些简单的增删改查功能。如果需要实现复杂的 SQL 功能,建议使用 XML 来配置映射语句,也就是将 SQL 语句写在 XML 配置文件中。
在 Mybatis 中使用 XML 映射文件方式开发,需要符合一定的规范:
XML 映射文件的名称与 Mapper 接口名称一致,并且将 XML 映射文件和 Mapper 接口放置在相同包下(同包同名)
XML 映射文件的 namespace 属性为 Mapper 接口全限定名一致
XML 映射文件中 sql 语句的 id 与 Mapper 接口中的方法名一致,并保持返回类型一致。
<select>标签:就是用于编写 select 查询语句的。
resultType 属性,指的是查询返回的单条记录所封装的类型。
2.2 XML 配置文件实现
第 1 步:创建 XML 映射文件
第 2 步:编写 XML 映射文件
xml 映射文件中的 dtd 约束,直接从 mybatis 官网复制即可
配置:XML 映射文件的 namespace 属性为 Mapper 接口全限定名
配置:XML 映射文件中 sql 语句的 id 与 Mapper 接口中的方法名一致,并保持返回类型一致
运行测试类,执行结果:
2.3 MybatisX 的使用
MybatisX 是一款基于 IDEA 的快速开发 Mybatis 的插件,为效率而生。
MybatisX 的安装:
可以通过 MybatisX 快速定位:
MybatisX 的使用在后续学习中会继续分享
学习了 Mybatis 中 XML 配置文件的开发方式了,大家可能会存在一个疑问:到底是使用注解方式开发还是使用 XML 方式开发?
官方说明:https://mybatis.net.cn/getting-started.html
结论: 使用 Mybatis 的注解,主要是来完成一些简单的增删改查功能。如果需要实现复杂的 SQL 功能,建议使用 XML 来配置映射语句。
3. Mybatis 动态 SQL
3.1 什么是动态 SQL
在页面原型中,列表上方的条件是动态的,是可以不传递的,也可以只传递其中的 1 个或者 2 个或者全部。
而在我们刚才编写的 SQL 语句中,我们会看到,我们将三个条件直接写死了。 如果页面只传递了参数姓名 name 字段,其他两个字段 性别 和 入职时间没有传递,那么这两个参数的值就是 null。
此时,执行的 SQL 语句为:
这个查询结果是不正确的。正确的做法应该是:传递了参数,再组装这个查询条件;如果没有传递参数,就不应该组装这个查询条件。
比如:如果姓名输入了"张", 对应的 SQL 为:
如果姓名输入了"张",,性别选择了"男",则对应的 SQL 为:
SQL 语句会随着用户的输入或外部条件的变化而变化,我们称为:动态 SQL。
在 Mybatis 中提供了很多实现动态 SQL 的标签,我们学习 Mybatis 中的动态 SQL 就是掌握这些动态 SQL 标签。
3.2 动态 SQL-if
<if>:用于判断条件是否成立。使用 test 属性进行条件判断,如果条件为 true,则拼接 SQL。
接下来,我们就通过<if>标签来改造之前条件查询的案例。
3.2.1 条件查询
示例:把 SQL 语句改造为动态 SQL 方式
原有的 SQL 语句
动态 SQL 语句
测试方法:
执行的 SQL 语句:
下面呢,我们修改测试方法中的代码,再次进行测试,观察执行情况:
执行结果:
再次修改测试方法中的代码,再次进行测试:
执行的 SQL 语句:
以上问题的解决方案:使用<where>标签代替 SQL 语句中的 where 关键字
<where>只会在子元素有内容的情况下才插入 where 子句,而且会自动去除子句的开头的 AND 或 OR
测试方法:
执行的 SQL 语句:
3.2.2 更新员工
案例:完善更新员工功能,修改为动态更新员工数据信息
动态更新员工信息,如果更新时传递有值,则更新;如果更新时没有传递值,则不更新
解决方案:动态 SQL
修改 Mapper 接口:
修改 Mapper 映射文件:
测试方法:
执行的 SQL 语句:
再次修改测试方法,观察 SQL 语句执行情况:
执行的 SQL 语句:
以上问题的解决方案:使用<set>标签代替 SQL 语句中的 set 关键字
<set>:动态的在 SQL 语句中插入 set 关键字,并会删掉额外的逗号。(用于 update 语句中)
再次执行测试方法,执行的 SQL 语句:
小结
<if>用于判断条件是否成立,如果条件为 true,则拼接 SQL
形式:
<where>where 元素只会在子元素有内容的情况下才插入 where 子句,而且会自动去除子句的开头的 AND 或 OR
<set>动态地在行首插入 SET 关键字,并会删掉额外的逗号。(用在 update 语句中)
3.3 动态 SQL-foreach
案例:员工删除功能(既支持删除单条记录,又支持批量删除)
SQL 语句:
Mapper 接口:
XML 映射文件:
使用
<foreach>遍历 deleteByIds 方法中传递的参数 ids 集合
执行的 SQL 语句:
3.4 动态 SQL-sql&include
问题分析:
在 xml 映射文件中配置的 SQL,有时可能会存在很多重复的片段,此时就会存在很多冗余的代码
我们可以对重复的代码片段进行抽取,将其通过<sql>标签封装到一个 SQL 片段,然后再通过<include>标签进行引用。
<sql>:定义可重用的 SQL 片段<include>:通过属性 refid,指定包含的 SQL 片段
SQL 片段: 抽取重复的代码
然后通过<include> 标签在原来抽取的地方进行引用。操作如下:
Last updated
Was this helpful?