MyBatis 获取参数值的两种方式:${} 和 #{}
- ${}的本质就是字符串拼接,#{}的本质就是占位符赋值
- ${}使用字符串拼接的方式拼接 sql,若为字符串类型或日期类型的字段进行赋值时,需要手动加单引
- 号;但是#{}使用占位符赋值的方式拼接 sql,此时为字符串类型或日期类型的字段进行赋值时,
- 可以自动添加单引号
#{}:先编译 sql 语句,再给占位符传值,底层是 PreparedStatement 实现。可以防止 sql 注入,比较常用。
${}:先进行 sql 语句拼接,然后再编译 sql 语句,底层是 Statement 实现。存在 sql 注入现象。只有在需要进行 sql 语句关键字拼接的情况下才会用到。
Mybatis 中的 ${}
和 #{}
都是用于 SQL 语句中参数的替代。
#{}
使用的是预编译语句,用于将输入参数的值与 SQL 语句分开处理,防止 SQL 注入等安全问题,同时也有效的提高了 SQL 语句的查询性能。在 SQL 解析过程中,#{} 会将参数值进行一定的处理,比如转义特殊字符、处理成相应的数据类型等。
$ {}
在 SQL 中是直接替换为参数的值,不做任何转义和修改。这种方式的优点是灵活性强,可以用于不同的场景,但是这种方式存在 SQL 注入的风险,因为输入的参数被直接拼接到 SQL 语句中,如果不充分防范,很容易被攻击者利用。
一般情况下,使用 #{}
是比较安全的方式,但是如果在某些特殊的情况下,确实需要使用 ${}
,比如在动态 SQL 中,将一些动态的 SQL 拼接到主 SQL 中。
综上所述,#{}
适用于大多情况下,比如查询、更新等;而 ${}
适用于某些特殊情况,比如动态 SQL,但是需要注意 SQL 注入的问题。
使用方式示例:
-
#{}
:
<select id="getUserById" resultType="User">
select * from user where id = #{id}
</select>
代码语言:javascript复制Map<String, Object> param = new HashMap<>();
param.put("id", 1);
User user = sqlSession.selectOne("getUserById", param);
-
${}
:
<!-- 动态 SQL 标签 -->
<select id="getUserByCondition" resultType="User">
select * from user where
<if test="name != null">
name = '${name}'
</if>
<if test="age != null">
and age = '${age}'
</if>
</select>
代码语言:javascript复制Map<String, Object> param = new HashMap<>();
param.put("name", "John Doe");
param.put("age", 20);
User user = sqlSession.selectOne("getUserByCondition", param);
1. 单个字面量类型的参数
- 若 mapper 接口中的方法参数为单个的字面量类型
- 此时可以使用
{}需要手动加单引号
2. 多个字面量类型的参数
- 若 mapper 接口中的方法参数为多个时
- 此时 MyBatis 会自动将这些参数放在一个 map 集合中,以 arg0,arg1...为键,以参数为值;以
- param1,param2...为键,以参数为值;因此只需要通过${}和#{}访问 map 集合的键就可以获取相
- 对应的值,注意${}需要手动加单引号
3. map 集合类型的参数
- 若 mapper 接口中的方法需要的参数为多个时,此时可以手动创建 map 集合,将这些数据放在 map 中
- 只需要通过
{}需要手动加单引号
代码实现:
代码语言:javascript复制 @Test
public void testCheckLoginMap() {
SqlSession sqlSession = SqlSessionUtil.getSqlSession();
UserMapper mapper = sqlSession.getMapper(UserMapper.class);
Map<String, Object> map = new HashMap<>();
map.put("username", "zhangsan");
map.put("password", "123456");
User user = mapper.checkLoginMap(map);
System.out.println(user);
sqlSession.close();
}
4. 实体类类型的参数
若 mapper 接口中的方法参数为实体类对象时 , 此时可以使用${}和#{},通过访问实体类对象中的属性名获取属性值
注意 :
- ${} 需要手动添加单引号
根据属性名获取属性值
- 这里的属性名指的是实体类当中
get后面的名字
, 就像 getAge 而这里的属性名值得就是 age , 大小写无所谓
5. 使用@Param 标识参数
可以通过@Param 注解标识 mapper 接口中的方法参数, 此时会将这些参数放在 map 集合中,以@Param 注解的 value 属性值为键,以参数为值;以 param1,param2...为键,以参数为值;只需要通过${}和#{}访问 map 集合的键就可以获取相对应的值
注意${}需要手动加单引号