mybatis中關(guān)于in的使用方法及說明

更新時(shí)間：2023年02月27日 09:46:44 作者：等櫻花的龍貓

這篇文章主要介紹了mybatis中關(guān)于in的使用方法及說明，具有很好的參考價(jià)值，希望對(duì)大家有所幫助。如有錯(cuò)誤或未考慮完全的地方，望不吝賜教

mybatis in的使用方法

很多人都想著拼接字符串用比如in（‘1’，‘2’）這樣的方式去獲取數(shù)據(jù)，其實(shí)沒有這個(gè)必要，mybatis有foreach方法來自動(dòng)用這樣的數(shù)據(jù)

如下：

比如傳入的是roleIdList

//上面省略
xxxxx
WHERE ROLE_ID in
        <foreach collection="list" item="item" index="index" open="(" separator="," close=")">
            #{item}
        </foreach>

mybatis使用in做范圍查詢的坑

錯(cuò)誤展示

List<WmRecommendpic> selectPicListByMap(@Param("recommendIds")String recommendIds);
<select id="selectPicListByMap" resultType="xx.xx.WmRecommendpic" ? ? parameterType="java.util.Map">
?? ??? ?
?? ??? ?SELECT * FROM `WmRecommendpic`?
?? ??? ?WHERE type_id IN (
?? ??? ??? ?SELECT DISTINCT type_id FROM `wm_relationship`?
?? ??? ??? ?WHERE recommend_id IN (#{recommendIds})
?? ??? ??? ?AND is_valid=TRUE)
?? ??? ?AND is_valid=TRUE
?? ??? ?ORDER BY id ASC
</select>

由于#是不能識(shí)別的所以有兩種改法

改法1

<select id="selectPicListByMap" resultType="xx.xx.WmRecommendpic" ? ? parameterType="java.util.Map">
?? ??? ?
?? ??? ?SELECT * FROM `WmRecommendpic`?
?? ??? ?WHERE type_id IN (
?? ??? ??? ?SELECT DISTINCT type_id FROM `wm_relationship`?
?? ??? ??? ?WHERE recommend_id IN (${recommendIds})
?? ??? ??? ?AND is_valid=TRUE)
?? ??? ?AND is_valid=TRUE
?? ??? ?ORDER BY id ASC
</select>

為啥能這樣改？

當(dāng)參數(shù)采用：#{} ：解析為一個(gè) JDBC 預(yù)編譯語句（prepared statement）的參數(shù)標(biāo)記符，一個(gè) #{ } 被解析為一個(gè)參數(shù)占位符。${}: 僅僅為一個(gè)純碎的 string 替換，在動(dòng)態(tài) SQL 解析階段將會(huì)進(jìn)行變量替換。

這種改法看似簡單，但是會(huì)有安全隱患，容易遭黑客跨腳本攻擊。

所以推薦第二種改法。

改法2

List<WmRecommendpic> selectPicListByMap(Map<String,Object> map);

Map<String,Object> map = new HashMap<>();
map.put("recommendIds", recommendId.split(","));
		
return this.dao.selectPicListByMap(map);

<select id="selectPicListByMap" resultType="cn.smarthse.modules.platform.entity.apps.WmRecommendpic" parameterType="java.util.Map">
		
		SELECT * FROM `wm_recommendpic` 
		WHERE type_id IN (
			SELECT DISTINCT type_id FROM `wm_relationship` 
			WHERE recommend_id IN 
			<foreach item="recommendId" index="index" collection="recommendIds"   open="(" separator="," close=")">  
	              #{recommendId}   
	    	</foreach> 
			AND is_valid=TRUE)
		AND is_valid=TRUE
		ORDER BY id ASC
</select>

這里還是使用#{}，這樣就不會(huì)遭受跨腳本的攻擊了。