别再手动拼接SQL了！MyBatis-Plus的apply方法，5分钟搞定动态日期查询

告别字符串拼接：MyBatis-Plus的apply方法实现动态日期查询

在Java后端开发中，处理动态SQL查询是家常便饭。特别是涉及到日期格式化的场景，比如需要查询生日为特定年月日的用户记录，很多开发者第一反应可能是手动拼接SQL字符串。这种看似简单直接的方法，却隐藏着巨大的安全隐患和代码维护成本。今天我们就来聊聊如何用MyBatis-Plus的apply方法优雅解决这个问题。

1. 为什么需要apply方法

想象一下这个场景：产品经理要求你开发一个功能，查询所有生日在1990年10月1日的用户。作为一个有经验的开发者，你可能会这样写：

String date = "1990-10-01"; String sql = "date_format(birthday,'%Y-%m-%d') = '" + date + "'"; QueryWrapper<User> wrapper = new QueryWrapper<>(); wrapper.apply(sql);

看起来没什么问题？但实际上，这种写法存在几个严重缺陷：

• SQL注入风险：如果date参数来自用户输入，恶意用户可能通过特殊构造的字符串进行注入攻击
• 代码可读性差：随着条件复杂度的增加，字符串拼接会变得难以维护
• 类型安全问题：编译器无法检查SQL语法错误，运行时才会暴露问题

MyBatis-Plus的apply方法正是为解决这些问题而设计的。它采用预编译参数的方式，既保持了SQL的灵活性，又确保了类型安全。

2. apply方法的核心用法

apply方法的基本签名如下：

apply(String applySql, Object... params)

它的工作原理很简单：将参数安全地替换到SQL模板中的占位符{0}、{1}等位置。让我们看一个完整的示例：

@Test void testApplyDateQuery() { QueryWrapper<User> wrapper = new QueryWrapper<>(); wrapper.apply("date_format(birthday,'%Y-%m-%d') = {0}", "1990-10-01"); List<User> users = userMapper.selectList(wrapper); users.forEach(System.out::println); }

这段代码会生成如下安全的SQL：

SELECT * FROM user WHERE (date_format(birthday,'%Y-%m-%d') = ?)

参数"1990-10-01"会被预编译处理，完全避免了SQL注入风险。

2.1 多参数场景

apply方法支持多个参数替换，只需在SQL模板中使用{0}、{1}等占位符：

wrapper.apply("date_format(create_time,'%Y-%m-%d') between {0} and {1}", "2023-01-01", "2023-12-31");

2.2 条件判断

apply方法还提供了带条件判断的重载版本：

apply(boolean condition, String applySql, Object... params)

这在动态构建查询条件时特别有用：

boolean shouldFilterByDate = request.getFilterByDate() != null; wrapper.apply(shouldFilterByDate, "date_format(birthday,'%Y-%m-%d') = {0}", request.getBirthday());

3. 实际应用场景分析

apply方法特别适合以下几种场景：

1. 日期格式化查询：如按年月日、年月等不同粒度查询
2. 数据库函数调用：需要调用数据库内置函数的场景
3. 复杂条件组合：需要动态拼接的复杂WHERE条件
4. 特殊语法需求：需要使用数据库特定语法的场景

3.1 日期查询的几种常见模式

下表总结了日期查询的几种常见模式及其apply实现方式：

4. 性能与安全考量

使用apply方法时，有几个关键点需要注意：

1. 索引使用：确保查询条件能够利用索引，避免全表扫描

   • 对于日期字段，考虑在格式化后的列上建立函数索引
   • 或者重构查询逻辑，使用原生日期比较

2. 参数验证：虽然apply防止了SQL注入，但仍需验证业务参数合法性

   • 检查日期格式是否正确
   • 验证日期范围是否合理

3. SQL方言：不同数据库的日期函数可能不同

   • MySQL使用date_format
   • Oracle使用TO_CHAR
   • PostgreSQL使用to_char

提示：在生产环境中使用apply方法时，建议配合日志记录功能，方便调试和审计生成的SQL语句。

5. 最佳实践与常见问题

5.1 最佳实践

1. 保持SQL片段简洁：每个apply方法只处理一个逻辑条件
2. 使用常量管理SQL模板：将常用SQL模板定义为常量
3. 统一日期格式：在应用层统一日期格式处理
4. 添加注释：为复杂条件添加说明性注释

// 定义常用SQL模板 public interface SqlTemplates { String DATE_EQ = "date_format({0},'%Y-%m-%d') = {1}"; String MONTH_EQ = "date_format({0},'%Y-%m') = {1}"; } // 使用示例 wrapper.apply(SqlTemplates.DATE_EQ, "birthday", "1990-10-01");

5.2 常见问题排查

1. 参数不匹配：占位符{0}数量必须与参数数量一致
2. 日期格式不一致：确保应用层与数据库层的格式一致
3. 特殊字符转义：LIKE查询中的百分号需要特殊处理
4. 空值处理：使用condition参数控制空值场景

// 错误的写法 - 会导致参数不匹配异常 wrapper.apply("date_format(date_col,'%Y-%m-%d')={0} and name={2}", date, name); // 正确的写法 wrapper.apply("date_format(date_col,'%Y-%m-%d')={0}", date) .eq("name", name);

6. 与其他方法的对比

MyBatis-Plus提供了多种条件构造方式，下表对比了它们的适用场景：

从对比可以看出，apply方法在保持高安全性的同时，提供了最大的灵活性，特别适合处理需要数据库函数参与的复杂查询。

7. 实战案例：用户生日查询系统

让我们通过一个完整的案例来展示apply方法的实际应用。假设我们需要开发一个用户生日查询系统，支持以下功能：

1. 按精确日期查询
2. 按月查询当月生日的用户
3. 查询即将过生日的用户（未来7天内）

public List<User> queryUsersByBirthday(BirthdayQuery query) { QueryWrapper<User> wrapper = new QueryWrapper<>(); // 精确日期查询 if (query.getExactDate() != null) { wrapper.apply("date_format(birthday,'%Y-%m-%d') = {0}", formatDate(query.getExactDate())); } // 按月查询 if (query.getMonth() != null) { wrapper.apply("date_format(birthday,'%m') = {0}", String.format("%02d", query.getMonth())); } // 近期生日查询 if (query.getUpcomingDays() > 0) { LocalDate today = LocalDate.now(); LocalDate endDate = today.plusDays(query.getUpcomingDays()); wrapper.apply("date_format(birthday,'%m-%d') between {0} and {1}", formatMonthDay(today), formatMonthDay(endDate)); } return userMapper.selectList(wrapper); } private String formatDate(LocalDate date) { return date.format(DateTimeFormatter.ISO_LOCAL_DATE); } private String formatMonthDay(LocalDate date) { return date.format(DateTimeFormatter.ofPattern("MM-dd")); }

这个案例展示了如何组合使用apply方法构建复杂的动态查询条件，同时保持代码的清晰和安全性。