Spring Boot 多表查询与Java安全开发实战教学文档<\/strong><\/h2>
一、核心概念：数据库多表关系<\/strong><\/h3>
在关系型数据库中，复杂业务逻辑通常需要多个表来存储数据，表与表之间通过各种关系进行关联。<\/p>
1.1 多表关系的类型<\/strong><\/h4>

一对多 \/ 多对一<\/strong><\/p>

定义<\/strong>：这是最常见的关系。例如，一个部门（一）对应多个员工（多），反之，多个员工属于一个部门。<\/li>
实例<\/strong>： 部门表(Dept)<\/code> 和员工表(Emp)<\/code>。<\/li> <\/ul> <\/li>
一对一<\/strong><\/p> 定义<\/strong>：表A中的一条记录最多只能对应表B中的一条记录，反之亦然。<\/li> 实例<\/strong>：用户表（user<\/code>）和用户身份证信息表（user_id_card<\/code>）。一个用户只有一个身份证号。<\/li> <\/ul> <\/li> 多对多<\/strong><\/p> 定义<\/strong>：表A中的一条记录可以对应表B中的多条记录，表B中的一条记录也可以对应表A中的多条记录。<\/li> 实例<\/strong>：学生表（student<\/code>）和课程表（course<\/code>）。一个学生可以选择多门课程，一门课程可以被多个学生选择。<\/li> <\/ul> <\/li> <\/ol> 1.2 多表关系的解决方案<\/strong><\/h4> 一对多<\/strong><\/p> 实现方式<\/strong>：在“多”的一方的表中，添加一个字段（外键字段），来关联“一”的一方的主键。<\/li> 示例<\/strong>：在员工表(Emp)<\/code>中增加一个dept_id<\/code>字段，指向部门表(Dept)<\/code>的主键id<\/code>。<\/li> <\/ul> <\/li> 一对一<\/strong><\/p> 实现方式<\/strong>：在任意一方添加一个外键字段，关联另一方的主键，并为该外键字段添加唯一约束（UNIQUE）<\/strong>，以确保一一对应。<\/li> <\/ul> <\/li> 多对多<\/strong><\/p> 实现方式<\/strong>：需要建立第三张中间表<\/strong>来存储关系。中间表至少包含两个外键字段，分别指向两张表的主键。这两个外键的组合可以设置为主键，以防止重复关系。<\/li> 示例<\/strong>：学生选课表(student_course)<\/code>，包含student_id<\/code>和course_id<\/code>两个外键。<\/li> <\/ul> <\/li> <\/ol> 1.3 物理外键与逻辑外键（安全开发关键点）<\/strong><\/h4> 物理外键<\/strong>：使用数据库的FOREIGN KEY<\/code>约束来强制维护表间数据的引用完整性。<\/p> 添加方式<\/strong>： -- 创建表时指定 <\/span><\/span><\/span><\/span>CREATE<\/span> TABLE<\/span> emp ( <\/span><\/span> id INT PRIMARY<\/span> KEY<\/span>, <\/span><\/span> name VARCHAR(50<\/span>), <\/span><\/span> dept_id INT, <\/span><\/span> CONSTRAINT<\/span> fk_emp_dept FOREIGN<\/span> KEY<\/span> (dept_id) REFERENCES<\/span> dept(id) <\/span><\/span>); <\/span><\/span> <\/span><\/span>-- 建完表后，添加外键 <\/span><\/span><\/span><\/span>ALTER<\/span> TABLE<\/span> emp ADD<\/span> CONSTRAINT<\/span> fk_emp_dept FOREIGN<\/span> KEY<\/span> (dept_id) REFERENCES<\/span> dept(id); <\/span><\/span><\/code><\/pre><\/li> 优缺点<\/strong>：优点<\/strong>：由数据库保证数据一致性，例如无法在员工表<\/code>中插入一个不存在的dept_id<\/code>。<\/li> 缺点<\/strong>：性能开销大，尤其是在高并发写入场景；耦合性高，不利于分库分表。现代互联网应用已不推荐广泛使用。<\/strong><\/li> <\/ul> <\/li> <\/ul> <\/li> 逻辑外键<\/strong>：<\/p> 定义<\/strong>：在业务表中定义一个字段（如dept_id<\/code>）来逻辑上关联另一张表，但不在数据库层面建立FOREIGN KEY<\/code>约束<\/strong>。<\/li> 实现<\/strong>：数据一致性的保证完全由应用程序代码（如Spring Boot服务层）负责。<\/li> 优点<\/strong>：灵活性高，性能好，是当前主流开发方式。<\/li> <\/ul> <\/li> <\/ul> 二、多表查询<\/strong><\/h3> 2.1 定义与笛卡尔积问题<\/strong><\/h4> 多表查询<\/strong>：指从多张数据表中联合查询数据。<\/li> 笛卡尔积<\/strong>：如果直接查询多张表而不加任何条件，会得到所有可能的记录组合，这是错误的查询结果。 SELECT<\/span> *<\/span> FROM<\/span> dept, emp; -- 会产生 dept行数 * emp行数条记录 <\/span><\/span><\/span><\/code><\/pre><\/li> 正确方式<\/strong>：通过连接条件<\/strong>来消除无效的笛卡尔积。 SELECT<\/span> *<\/span> FROM<\/span> dept, emp WHERE<\/span> dept.id =<\/span> emp.dept_id; <\/span><\/span><\/code><\/pre><\/li> <\/ul> 2.2 多表查询分类<\/strong><\/h4> A. 连接查询<\/strong><\/h5> 内连接<\/strong><\/p> 功能<\/strong>：查询两表交集<\/strong>部分的数据，即满足连接条件的记录。<\/li> 隐式内连接<\/strong>：使用WHERE<\/code>子句指定连接条件。 SELECT<\/span> e.name, d.name FROM<\/span> emp e, dept d WHERE<\/span> e.dept_id =<\/span> d.id; <\/span><\/span><\/code><\/pre><\/li> 显式内连接<\/strong>：使用INNER JOIN ... ON ...<\/code>关键字（INNER<\/code>可省略）。 SELECT<\/span> e.name, d.name FROM<\/span> emp e INNER<\/span> JOIN<\/span> dept d ON<\/span> e.dept_id =<\/span> d.id; <\/span><\/span><\/code><\/pre><\/li> <\/ul> <\/li> 外连接<\/strong><\/p> 左外连接<\/strong>：查询左表<\/strong>的全部数据，以及右表中满足连接条件的数据。如果右表无对应数据，则右表字段显示为NULL<\/code>。 SELECT<\/span> e.name, d.name FROM<\/span> emp e LEFT<\/span> [OUTER<\/span>] JOIN<\/span> dept d ON<\/span> e.dept_id =<\/span> d.id; <\/span><\/span><\/code><\/pre><\/li> 右外连接<\/strong>：与左外连接相反，查询右表<\/strong>的全部数据。实际开发中左外连接使用更普遍，右外连接可以通过交换表位置并用左连接替代。<\/li> <\/ul> <\/li> <\/ol> B. 子查询（嵌套查询）<\/strong><\/h5> 定义<\/strong>： SQL语句中嵌套SELECT<\/code>语句，称为嵌套查询或子查询。<\/li> 标量子查询<\/strong>：子查询返回的结果是单个值（数字、字符串、日期等）。示例<\/strong>：查询最早入职的员工信息。 SELECT<\/span> *<\/span> FROM<\/span> emp WHERE<\/span> entry_date =<\/span> (SELECT<\/span> MIN<\/span>(entry_date) FROM<\/span> emp); <\/span><\/span><\/code><\/pre><\/li> <\/ul> <\/li> 列子查询<\/strong>：子查询返回的结果是一列数据。通常与IN<\/code>操作符一起使用。示例<\/strong>：查询属于特定部门名称的所有员工（假设先通过子查询找到部门ID）。 SELECT<\/span> e.name, d.name FROM<\/span> emp e, dept d <\/span><\/span>WHERE<\/span> e.dept_id =<\/span> d.id <\/span><\/span>AND<\/span> e.dept_id IN<\/span> (SELECT<\/span> id FROM<\/span> dept WHERE<\/span> name =<\/span> '研发部'<\/span>); <\/span><\/span><\/code><\/pre><\/li> <\/ul> <\/li> <\/ul> 三、 Spring Boot 实践：员工管理接口与安全开发<\/strong><\/h3> 文章后半部分提到了使用Spring Boot实现员工管理接口，这是将上述SQL知识应用于Java开发的关键环节，其中安全开发是重中之重<\/strong>。<\/p> 3.1 接口功能<\/strong><\/h4> 分页查询<\/strong>：使用PageHelper<\/code>等插件实现数据分页，避免一次性查询大量数据。<\/li> 条件分页查询<\/strong>：结合分页与动态条件（如按姓名、部门筛选）。<\/li> <\/ol> 3.2 关键安全实践：预防SQL注入<\/strong><\/h4> 这是教学文档必须强调的核心安全知识点。在Java中，绝对禁止<\/strong>使用字符串拼接的方式来构造SQL语句。<\/p> 错误做法（存在严重SQL注入风险）<\/strong>：<\/p> \/\/ 假设从前端接收了一个 name 参数 <\/span><\/span><\/span><\/span>String sql =<\/span> "SELECT * FROM emp WHERE name = '"<\/span> +<\/span> name +<\/span> "'"<\/span>;<\/span> <\/span><\/span>\/\/ 如果用户输入 name = \"' OR '1'='1\"，则SQL变为： <\/span><\/span><\/span>\/\/ SELECT * FROM emp WHERE name = '' OR '1'='1' 这将查询出所有员工数据！ <\/span><\/span><\/span><\/code><\/pre><\/li> 正确做法：使用MyBatis的预编译机制<\/strong><\/p> MyBatis是目前Java开发中最常用的ORM框架，它能有效防止SQL注入。<\/p> 使用 #{}<\/code> 占位符（推荐）<\/strong>： #{}<\/code> 会被MyBatis处理为一个参数占位符?<\/code>，然后使用PreparedStatement<\/code>进行预编译。传入的参数在编译后被安全地设置，特殊字符会被转义，从根本上杜绝SQL注入。<\/p> <\/span> <\/span><\/span><select<\/span> id=<\/span>"selectByCondition"<\/span> resultType=<\/span>"Emp"<\/span>><\/span> <\/span><\/span> SELECT * FROM emp <\/span><\/span> WHERE name = #{name} <\/span><\/span> AND dept_id = #{deptId} <\/span><\/span><\/select><\/span> <\/span><\/span><\/code><\/pre><\/li> 警惕 ${}<\/code> 字符串拼接<\/strong>： ${}<\/code> 会直接将参数值拼接到SQL语句中，存在SQL注入风险。除非是动态表名、列名等极少数场景，否则严禁使用。<\/strong><\/p> <\/li> 动态SQL标签<\/strong>：使用<where><\/code>, <if><\/code>, <foreach><\/code>等标签安全地构建动态查询。<\/p> <select<\/span> id=<\/span>"selectByCondition"<\/span> resultType=<\/span>"Emp"<\/span>><\/span> <\/span><\/span> SELECT * FROM emp <\/span><\/span> <where><\/span> <\/span><\/span> <if<\/span> test=<\/span>"name != null and name != ''"<\/span>><\/span> <\/span><\/span> AND name = #{name} <\/span><\/span> <\/if><\/span> <\/span><\/span> <if<\/span> test=<\/span>"deptId != null"<\/span>><\/span> <\/span><\/span> AND dept_id = #{deptId} <\/span><\/span> <\/if><\/span> <\/span><\/span> <\/where><\/span> <\/span><\/span><\/select><\/span> <\/span><\/span><\/code><\/pre><\/li> <\/ol> <\/li> <\/ul> 3.3 其他Java安全开发建议<\/strong><\/h4> 输入验证<\/strong>：在Controller层使用Bean Validation（如@NotBlank<\/code>, @Size<\/code>）对传入参数进行校验。<\/li> 最小权限原则<\/strong>：连接数据库的账户应只拥有所需的最小权限，避免使用root<\/code>或sa<\/code>等高级别账户。<\/li> 日志记录<\/strong>：使用Logback等日志框架记录敏感操作（如登录、数据删除），便于审计和问题追踪。<\/li> <\/ol> 总结<\/strong><\/h3> 本教学文档系统地讲解了从数据库设计（多表关系）到SQL查询（连接查询、子查询），再到Spring Boot应用开发（接口实现）的全过程，并重点融入了Java安全开发的核心——预防SQL注入<\/strong>。关键在于理解逻辑外键的现代应用，掌握MyBatis等ORM框架的正确用法，始终坚持使用预编译语句而非字符串拼接，从而构建出安全、健壮的后端服务。<\/p>