南通网站排名服务,网站增值服务,给个网站急急急202,国内永久免费crm系统小说MyBatis-Plus模糊查询避坑指南#xff1a;XML中like条件的正确写法#xff08;附bind标签用法#xff09; 最近在项目里做代码审查#xff0c;发现不少同事在写MyBatis-Plus的XML模糊查询时#xff0c;还在用like %${param}%这种写法。乍一看功能实现了#xff0c;但背后…MyBatis-Plus模糊查询避坑指南XML中like条件的正确写法附bind标签用法最近在项目里做代码审查发现不少同事在写MyBatis-Plus的XML模糊查询时还在用like %${param}%这种写法。乍一看功能实现了但背后潜藏的SQL注入风险和技术债迟早会变成线上事故的定时炸弹。模糊查询是业务系统里再常见不过的需求从用户搜索、日志筛选到报表过滤几乎无处不在。但就是这么基础的功能很多开发者却因为对MyBatis-Plus的SQL解析机制和XML标签理解不深要么写出了性能低下的查询要么无意中打开了安全漏洞的大门。这篇文章我们就来彻底拆解MyBatis-Plus XML中like条件的所有“坑”从最常见的错误写法开始一步步深入到bind标签和CONCAT函数的正确应用。无论你是刚接触MyBatis-Plus的新手还是已经用它开发过几个项目的中级开发者相信都能从中找到一些之前忽略的细节。我们的目标不仅是“能用”更是要写出安全、高效、可维护的模糊查询代码。1. 模糊查询的“天坑”从${}到#{}的本质区别很多开发者第一次在MyBatis-Plus的XML里写模糊查询时直觉反应可能就是直接在参数两边拼接上百分号%。这个思路本身没错但实现方式一旦选错后果截然不同。核心的混淆点往往集中在${}和#{}这两个占位符上。1.1${}的诱惑与陷阱先来看一个最典型的错误示例select idselectByCode resultTypecom.example.entity.User SELECT * FROM user WHERE code LIKE %${code}% /select当传入的参数code为admin时最终生成的SQL语句是SELECT * FROM user WHERE code LIKE %admin%从结果上看它完美实现了模糊匹配包含“admin”的用户编码。那问题出在哪里关键在于${}的工作原理它做的是纯粹的字符串替换。MyBatis在解析XML时会直接将${code}替换成变量code的值不做任何处理然后才将整条SQL语句发送给数据库。这种“简单粗暴”的方式带来了两个致命问题SQL注入漏洞如果用户输入的code参数是admin% OR 11拼接后的SQL会变成SELECT * FROM user WHERE code LIKE %admin% OR 11%在某些数据库和场景下这可能导致查询出所有数据完全绕过了业务逻辑限制。类型与引号处理如果code参数本身是数字类型或者包含特殊字符由于缺少了数据库驱动本该进行的转义和类型处理极易引发语法错误或非预期的查询结果。注意在MyBatis中${}通常用于动态拼接SQL语句的非值部分例如动态表名、列名或排序字段ORDER BY ${orderBy}。将其用于传递查询值是极高风险的行为。1.2#{}的安全机制与初次尝试的挫败明白了${}的危险大家自然会转向使用更安全的#{}预编译占位符。#{}的工作原理是参数化查询MyBatis会使用?作为占位符将参数值通过JDBC PreparedStatement安全地传递给数据库由数据库驱动负责处理类型转换和特殊字符转义从根本上杜绝了SQL注入。于是新手常会写出第二种错误写法select idselectByCode resultTypecom.example.entity.User SELECT * FROM user WHERE code LIKE %#{code}% /select满怀期待地运行却会立刻收到一个语法错误。因为经过预编译后SQL变成了类似LIKE %?%的形式数据库无法将?识别为一个完整的占位符导致解析失败。这里的根本矛盾在于我们想将参数值作为模式pattern的一部分而#{}设计用于传递独立的参数值。那么直接把百分号和参数在Java代码里拼接好再传进去行不行比如String pattern % code %; queryWrapper.like(code, pattern);在MyBatis-Plus的条件构造器里这确实是官方推荐的做法之一简单直接。但在复杂的动态查询场景或者当查询条件需要根据业务逻辑在XML中灵活组装时我们仍然需要回到XML层面去寻找更优雅的解决方案。2. 破局之道XML中的三种安全模糊查询方案既然直接拼接行不通我们需要在XML的语法体系内找到既能利用#{}的安全性又能动态构建包含通配符的查询模式的方法。下面三种方案各有适用场景是构建健壮模糊查询的基石。2.1 方案一使用CONCAT函数进行字符串拼接这是最接近SQL原生思维的一种方式直接在SQL表达式里完成拼接。主流数据库如MySQL、PostgreSQL、Oracle都支持CONCAT函数。select idselectUsers resultTypecom.example.entity.User SELECT * FROM user WHERE 11 if testusername ! null and username ! AND username LIKE CONCAT(%, #{username}, %) /if if testemail ! null and email ! AND email LIKE CONCAT(%, #{email}, %) /if /select工作原理CONCAT(%, #{username}, %)会在数据库端执行#{}传入的username参数值被安全地作为CONCAT函数的参数。最终数据库执行的查询条件是LIKE %实际用户名%。优点直观清晰SQL逻辑一目了然便于理解和调试。数据库无关性部分虽然函数名都是CONCAT但不同数据库的字符串连接语法可能有细微差别如Oracle用||但在MyBatis中统一写成CONCAT由数据库驱动或方言去适配通常问题不大。缺点与坑点数据库兼容性对于不支持CONCAT函数或语法有异的数据库某些老版本或特殊数据库可能需要调整。更通用的写法是使用||操作符但同样面临兼容性问题。NULL值处理在大多数数据库中CONCAT函数中如果有一个参数为NULL则整个函数结果返回NULL。这意味着如果#{username}传入的是NULL尽管我们在if中做了判空或者数据库字段本身为NULL逻辑上可能出问题。通常需要配合COALESCE或IFNULL函数使用增加了复杂度。2.2 方案二使用bind标签预定义查询模式bind标签是MyBatis提供的一个强大工具它允许你在OGNL表达式上下文中创建一个新的变量并将一个值绑定到它上面。这个变量可以在后续的SQL语句中使用。select idselectUsers resultTypecom.example.entity.User bind nameusernamePattern value% username % / bind nameemailPattern value% email % / SELECT * FROM user WHERE 11 if testusername ! null and username ! AND username LIKE #{usernamePattern} /if if testemail ! null and email ! AND email LIKE #{emailPattern} /if /select工作原理bind标签在内存中创建了usernamePattern和emailPattern两个变量其值是通过OGNL表达式% username %计算得出的字符串。注意这里的加号是OGNL的字符串连接操作符而不是Java的。随后在LIKE子句中我们使用#{}安全地引用这些预先构建好的模式变量。优点极高的灵活性你可以在value表达式中实现复杂的字符串逻辑。例如实现后缀匹配、前缀匹配或更复杂的模式!-- 只匹配以特定字符结尾的 -- bind namecodeSuffixPattern value% code / !-- 根据条件动态决定是否添加通配符 -- bind namedynamicPattern valueexactMatch ? name : % name % /逻辑集中模式构建的逻辑集中在XML顶部SQL条件部分保持简洁更易于维护。安全最终通过#{}传递享受预编译的安全好处。缺点理解成本需要开发者理解OGNL表达式语法对于新手有一定门槛。作用域bind定义的变量在其所在的SQL语句块如select内有效。在非常复杂的、包含多个include或动态片段的XML中需要注意变量的作用域问题。2.3 方案三在Java层构造好模式参数有时最简单的方案就是最好的。如果查询逻辑不复杂或者你希望将业务逻辑更多地保持在Java代码中那么在调用Mapper方法之前就构造好查询模式是直截了当的选择。在Service层处理Service public class UserServiceImpl implements UserService { Autowired private UserMapper userMapper; public ListUser searchUsers(String username, String email) { // 在调用Mapper前构造模式字符串 String usernamePattern (username ! null !username.isEmpty()) ? % username % : null; String emailPattern (email ! null !email.isEmpty()) ? % email % : null; // 调用一个接收模式参数的Mapper方法 return userMapper.selectByPatterns(usernamePattern, emailPattern); } }对应的Mapper XMLselect idselectByPatterns resultTypecom.example.entity.User SELECT * FROM user WHERE 11 if testusernamePattern ! null AND username LIKE #{usernamePattern} /if if testemailPattern ! null AND email LIKE #{emailPattern} /if /select优点职责清晰字符串处理和业务逻辑留在Java层XML只负责SQL组装符合分层思想。易于测试Java代码中的逻辑更容易进行单元测试。灵活性可以非常方便地根据复杂业务规则动态构造模式例如同时支持精确匹配和模糊匹配。缺点代码冗余如果很多查询都需要模糊匹配在每个Service方法里重复写构造模式的代码会显得冗余。参数膨胀Mapper接口的方法参数会增多特别是当查询条件复杂时。3. 进阶动态模式与性能考量掌握了基础的安全写法后我们需要面对更真实的业务场景动态变化的匹配规则。用户可能只想匹配开头或只想匹配结尾或者有时需要精确匹配有时需要模糊匹配。3.1 实现动态前缀/后缀/全模糊匹配利用bind标签的灵活性我们可以轻松实现这一点。假设我们有一个搜索请求对象UserSearchDTO它包含一个matchType字段用于指定匹配方式prefix-前缀,suffix-后缀,contains-包含。select idsearchUsersDynamic resultTypecom.example.entity.User !-- 根据匹配类型动态绑定模式 -- if testusername ! null and username ! choose when testmatchType prefix bind nameusernamePattern valueusername % / /when when testmatchType suffix bind nameusernamePattern value% username / /when otherwise !-- 默认为contains -- bind nameusernamePattern value% username % / /otherwise /choose AND username LIKE #{usernamePattern} /if /select这种写法将模式生成的逻辑完全内聚在XML的SQL映射中对于后端服务来说只需要传递原始的查询词和匹配类型即可非常简洁。3.2 模糊查询的性能陷阱与优化建议模糊查询尤其是LIKE %keyword%这种前后都加通配符的形式对数据库性能是巨大的挑战因为它无法利用索引在大多数数据库如MySQL中。当数据量达到百万甚至千万级时这类查询可能成为系统瓶颈。性能影响对比查询模式是否可能利用索引 (以B-Tree索引为例)性能评估LIKE keyword%是(前缀匹配)良好能走索引范围扫描LIKE %keyword否差需要全表扫描LIKE %keyword%否差需要全表扫描优化思路尽可能使用前缀匹配在业务设计时鼓励或引导用户使用前缀搜索如搜索用户名、手机号开头几位。这是提升性能最有效的手段。限制结果集大小务必在SQL中加上LIMIT或等价的分页语句避免一次性返回过多数据。MyBatis-Plus的分页插件能很好地协助完成此事。考虑全文索引如果业务对全文搜索有强需求且数据量大应考虑使用专业的全文搜索引擎如Elasticsearch或数据库自带的全文索引功能如MySQL的FULLTEXT INDEX。这远胜于在应用层折腾LIKE。定期优化与监控对核心的模糊查询接口进行慢SQL监控并定期分析执行计划。对于无法避免的LIKE %...%查询确保查询字段选择性高重复值少并考虑对表进行合理的分区。4. 实战一个完整的动态查询构建案例让我们结合一个稍微复杂的场景将前面讲到的知识融会贯通。假设我们要为一个内部管理系统构建一个用户高级搜索功能支持多字段组合模糊查询并且某些字段需要支持不同的匹配精度。搜索DTO对象Data public class UserAdvancedSearchDTO { private String name; // 姓名支持全模糊 private String employeeId; // 工号支持前缀匹配 private String department; // 部门支持全模糊 private String phonePrefix; // 手机号前3位精确前缀 private Boolean active; // 是否在职 // 省略 getter/setter }对应的Mapper XML实现select idadvancedSearch resultTypecom.example.vo.UserVO !-- 使用bind为需要全模糊的字段创建模式 -- if testname ! null and name ! bind namenamePattern value% name % / /if if testdepartment ! null and department ! bind namedeptPattern value% department % / /if SELECT u.id, u.name, u.employee_id, u.department, u.phone, u.status, p.title as position_title FROM sys_user u LEFT JOIN sys_position p ON u.position_id p.id WHERE u.deleted 0 if testnamePattern ! null AND u.name LIKE #{namePattern} /if if testemployeeId ! null and employeeId ! !-- 工号通常使用前缀匹配更高效 -- AND u.employee_id LIKE CONCAT(#{employeeId}, %) /if if testdeptPattern ! null AND u.department LIKE #{deptPattern} /if if testphonePrefix ! null and phonePrefix ! !-- 手机号前缀使用精确的左匹配函数性能更好 -- AND LEFT(u.phone, 3) #{phonePrefix} /if if testactive ! null AND u.active #{active} /if ORDER BY u.create_time DESC !-- 非常重要强制分页避免全量扫描 -- LIMIT #{pageSize} OFFSET #{offset} /select在这个案例中我们混合使用了多种技术bind标签用于处理name和department这两个需要复杂全模糊匹配的字段逻辑清晰。CONCAT函数用于employeeId的前缀匹配写法简洁。数据库函数对于phonePrefix我们使用了LEFT()函数进行精确的前N位匹配这通常比LIKE xxx%更语义化在某些数据库上可能也有微小的性能优势。强制分页在查询末尾明确添加了LIMIT和OFFSET这是保护数据库性能的最后一道防线。最后关于选择bind还是CONCAT我的经验是对于简单的、固定的前后加%的场景两者都可以CONCAT更贴近SQL习惯一旦模式生成逻辑变得复杂例如需要根据条件动态决定是否加通配符或者需要拼接多个变量bind标签的优势就非常明显了它能让你的XML逻辑更内聚、更易读。在实际项目中根据团队的习惯和具体的查询复杂度来做出选择就好关键是彻底告别${}拥抱安全的参数化查询。