分析以下的sqlmap存在问题:

<delete id="deletePartspic" parameterClass="TblSpPartspic">

        delete  from  tbl_sp_partspic

        <dynamic prepend="where">

            <isNotEmpty property="id" prepend="and">

                id = #id#

            </isNotEmpty>

            <isNotEmpty property="fPartsinfoId" prepend="and">

                f_partsinfo_id = #fPartsinfoId#

            </isNotEmpty>

            <isNotEmpty property="picUrl" prepend="and">

                pic_url = #picUrl#

            </isNotEmpty>

        </dynamic>

    </delete>

    <update id="updatePartspic" >

        update   tbl_sp_partspic

        <dynamic prepend="set">

             <isNotEmpty  property="picUrl"  prepend=","  >

                pic_url=#picUrl#

             </isNotEmpty>

             <isNotEmpty property="fPartsinfoId" prepend="," >

                f_partsinfo_id=#fPartsinfoId#

             </isNotEmpty>

              <isNotEmpty property="flag" prepend="," >

                flag=#flag#

             </isNotEmpty>

        </dynamic>

        <dynamic prepend="where">

            <isNotEmpty property="id" prepend="and" >

                id = #id#

             </isNotEmpty>

             <isNotEmpty property="picUrl" prepend="and" >

                pic_url = #picUrl#

             </isNotEmpty>

        </dynamic>

    </update>

如果没有传递参数,导致的结果就是删除整个表的数据,或修改整个表的数据,如果项目处理上线阶段,这样的问题将会很严重。

查询,添加不会出现以上问题。

所以我们要避免该种问题,要做一个限定条件,虽然sqlmal动态参数有它的灵活性,但是面对这样的情况,还是要尽量少用。

--解决方法: 分拆成多个sql语句,在dao层来判断执行。操作都要带上where条件(限定),就算没有传参,也只会报sql语法异常。--

[SQL] delete FROM `tbl_sp_partspic` where id = ;

[Err] 1064 - You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '' at line 1

在dao层做判断,分别调用不同的sql

public boolean deletePartsPic(Map map) throws DataAccessException{

        boolean flag = false;

        Object object = null;

        PartsPicPO po = new PartsPicPO();

        po.setId((Integer)map.get("id"));

        po.setfPartsinfoId( (Integer)map.get("fPartsinfoId"));

        po.setPicUrl( (String)map.get("picUrl") );

        if(po.getId() != null){

            object = this.getSqlMapClientTemplate().delete("deletePartspicById", po);

            log.info("删除返回的信息" + object);

        }else if(po.getfPartsinfoId() != null){

            object = this.getSqlMapClientTemplate().delete("deletePartspicByFid", po);

            log.info("删除返回的信息" + object);

        }else if(po.getPicUrl() != null){

            object = this.getSqlMapClientTemplate().delete("deletePartspicByPicUrl", po);

            log.info("删除返回的信息" + object);

        }

        if (object != null) {

            flag = true;

        }

        return flag;

    }

    @Override

    public boolean updatePartsPic(Map<String, Object> map) throws DataAccessException{

        boolean flag = false;

        Object object = null;

        PartsPicPO po = new PartsPicPO();

        po.setId((Integer) map.get("id"));

        po.setPicUrl((String) map.get("picUrl"));

        po.setfPartsinfoId((Integer) map.get("fPartsinfoId"));

        po.setFlag((Integer) map.get("flag"));

        if(po.getId() != null){

            object = this.getSqlMapClientTemplate().update("updatePartspicById", po);

            log.info("更新信息的返回:" + object + ",影响行数");

            flag = true;

        }else if(po.getPicUrl() != null){

            object = this.getSqlMapClientTemplate().update("updatePartspicByPicUrl", po);

            log.info("更新信息的返回:" + object + ",影响行数");

            flag = true;

        }

        return flag;

    }

拆分的sqlmap文件:

<delete id="deletePartspicById" parameterClass="TblSpPartspic">

        delete  from  tbl_sp_partspic where id = #id#

    </delete>

    <delete id="deletePartspicByFid" parameterClass="TblSpPartspic">

        delete  from  tbl_sp_partspic where f_partsinfo_id = #fPartsinfoId#

    </delete>

    <delete id="deletePartspicByPicUrl" parameterClass="TblSpPartspic">

        delete  from  tbl_sp_partspic where pic_url = #picUrl#

    </delete>

    <update id="updatePartspicById" >

        update   tbl_sp_partspic

        <dynamic prepend="set">

             <isNotEmpty  property="picUrl"  prepend=","  >

                pic_url=#picUrl#

             </isNotEmpty>

             <isNotEmpty property="fPartsinfoId" prepend="," >

                f_partsinfo_id=#fPartsinfoId#

             </isNotEmpty>

              <isNotEmpty property="flag" prepend="," >

                flag=#flag#

             </isNotEmpty>

        </dynamic>

        where id = #id#

    </update>

    <update id="updatePartspicByPicUrl" >

        update   tbl_sp_partspic

        <dynamic prepend="set">

             <isNotEmpty  property="picUrl"  prepend=","  >

                pic_url=#picUrl#

             </isNotEmpty>

             <isNotEmpty property="fPartsinfoId" prepend="," >

                f_partsinfo_id=#fPartsinfoId#

             </isNotEmpty>

              <isNotEmpty property="flag" prepend="," >

                flag=#flag#

             </isNotEmpty>

        </dynamic>

        where pic_url = #picUrl#

    </update>

问题回顾:

1. PartsPicPO po = new PartsPicPO();

po.setfPartsinfoId( (Integer)map.get("fPartsinfoId"));

//没有对id赋予值。故在运行id的junit测试的时候全部删除表数据(特地将id设置一个极大值,本来是让无物理删除)。

2.另外一个原因是连接的库是备用库,而不是开发库。导致配件图片表数据误删~!!!

web运行与junit运行,加载的jdbc数据库配置文件。 jdbc-ds.properties   jdbc-ds-test.properties

sqlmap动态sql优化,避免传参失误批量修改和删除操作!的更多相关文章

  1. 05Microsoft SQL Server 表创建,查看,修改及删除

    Microsoft SQL Server 表创建,查看,修改及删除 创建表 创建普通表 use 数据库名称 go create table 表名称( 列1 ) not null, 列2 ) not n ...

  2. Docker 如何动态给SpringBoot项目传参

    关于SpringBoot配置数据源 在项目开发中,我们往往需要配置多套不同的配置环境例如:本地开发.测试环境.部署环境.每一个环境的数据源配置可能都不同,因此需要写不同的数据源配置.如果用Docker ...

  3. sql取逗号前后数据与批量修改某一字段某一值

    sql取逗号后的值 SELECT SUBSTRING_INDEX(字段,) FROM 表名 sql取逗号前的值 SELECT SUBSTRING_INDEX(字段,) FROM 表名 批量修改 UPD ...

  4. sql server 笔记(数据类型/新建、修改、删除数据表/)

    1.数据类型: Character 字符串 / Unicode 字符串 / Binary 类型 / Number 类型  /  Date 类型  / 其他数据类型 详解:http://www.w3sc ...

  5. 一个坑:sql中问号(?)传参和 美元符号传参(${})的区别

    ? 可能会把参数加一对引号,不忽略前后空格? ${}是字符串拼接,好处是字符串前后的空格会被忽略... 但拼接有可能导致SQL注入

  6. php sql 类似 mybatis 传参

    PHP sql 处理上,没有类似于 java mybatis 的工具,导致进行一些sql 处理时,会有诸多不便, 楼主抽时间写了一个 php 类似 mybatis 的sql 工具,省去了拼装sql 的 ...

  7. FastDFS:Java客户都实现文件的上传、下载、修改、删除

    客户端版本:fastdfs_client_v1.24.jar 配置文件 connect_timeout = 200 network_timeout = 3000 charset = UTF-8 htt ...

  8. 转,sql server update set from inner 批量修改的使用

    SQL update select结合语句详解及应用   QL update select语句 最常用的update语法是: 1 2 UPDATE TABLE_NAME SET column_name ...

  9. vue动态路由配置,vue路由传参

    动态路由: 当我们很多个页面或者组件都要被很多次重复利用的时候,我们的路由都指向同一个组件,这时候从不同组件进入一个"共用"的组件,并且还要传参数,渲染不同的数据 这就要用到动态路 ...

随机推荐

  1. Linux c字符串中不可打印字符转换成16进制

    本文由 www.169it.com 搜集整理 如果一个C字符串中同时包含可打印和不可打印的字符,如果想将这个字符串写入文件,同时方便打开文件查看或者在控制台中打印出来不会出现乱码,那么可以将字符串中的 ...

  2. asp.net 文件上传示例整理

    ASP.NET依托.net framework类库,封装了大量的功能,使得上传文件非常简单,主要有以下三种基本方法. 方法一:用Web控件FileUpload,上传到网站根目录.  代码如下 复制代码 ...

  3. asp.net页面与页面之间传参数值

    一.利用POST传值 传值asp文件send.aspx  代码如下 复制代码 <form id="form1" runat="server" action ...

  4. (转)关于redis、memcache、mongoDB 的对比

    从以下几个维度,对redis.memcache.mongoDB 做了对比,欢迎拍砖 1.性能 都比较高,性能对我们来说应该都不是瓶颈 总体来讲,TPS方面redis和memcache差不多,要大于mo ...

  5. css 等高补偿法

    html <!DOCTYPE html> <html> <head> <meta charset="utf-8"> <meta ...

  6. 我们一起学Windows Phone 8-01-开发环境搭建

    我们仅讨论Windows Phone 8的开发,不考虑兼容向下兼容.也不会提供任何盗版软件的下载.破解. 需要准备 知识:.NET相关开发经验,C#语言开发经验.如果有WPF或Silverlight开 ...

  7. php学习问题记录

    1.微信应用开发,Token认证失败,解决方法php页面加上一句代码: header('content-type:text');

  8. Stimulsoft Reports报表工具

    关于第三方的报表工具,网上的种类有很多,一些专门做报表工具的公司,还针对不同平台语言做了分别处理.总之功能都很强大,比较流行和使用广泛的貌似还是国外的产品,版本收费和中文资料匮乏,这都是不可避免的问题 ...

  9. jQuery scroll(滚动)延迟加载

    延迟加载 $(window).scroll(function(){ var scrollHeight = $(document).height(); //文档高度 var scrollTop = $( ...

  10. 九、mysql触发器的概念

    .所谓触发器,就是指设置好某个表的某个操作(insert ,update ,delete)时候,同时触发的一个操作: 一般用来,比如说删除文章主栏目,那么可以利用触发器删除这个文章栏目下的所有文章 . ...