IBATIS中‘$’与‘#’使用

IBATIS中关于iterate和‘$’与‘#’的应用

一个包含List元素的HashMap参数赋给sqlMap 
public int getCountById(String id, String title, List ids) throws Exception {   
        Map paramMap=new HashMap();   
        paramMap.put("id", id);   
        paramMap.put("title", title);   
        paramMap.put("ids",ids);   
        return (int) this.sqlMapClient.queryForObject("getCountById", paramMap);   
    }  
上面的ids元素是一个List，里面包含了一个id列表。id和title都是String。

<select id="getOrderformByBiOid" parameterClass="java.util.HashMap" resultMap="Result">   
        select *    
        from MYTABLE      
        <dynamic prepend="where">   
           <isNotNull prepend="and" property="id">   
             ID=#id#   
           </isNotNull>   
           <isNotNull prepend="and" property="title">   
             TITLE like '%$title$%'  
           </isNotNull>   
           <isNotNull prepend="and" property="ids">   
             IDS in   
            <iterate  property="ids" open="(" close=")" conjunction=",">   
             #ids[]#   
            </iterate>   
           </isNotNull>   
        </dynamic>   
        order by TIME DESC   
    </select>

在上面的sqlMap中要注意的地方有两个。

第一个地方是,<iterate>标签中一定要记得写property="ids",不要因为在上面的 <isNotNull
prepend="and" property="ids">标签中判断了该属性，就在<iterate>这个标签中忽略了property的书写(如果你忘了 写iterate中的property属性的话系统会报这样的错误Cause:com.ibatis.sqlmap.client.SqlMapException:
ParameterObject or property was not a Collection, Array or Iterator.),并且要记住， #ids[]#
中的‘[]’符号，只有这样ibatis才把ids作为一个可迭代的对象(list,数组...)，不然的话ibatis会把ids作为普通的string来处理。

第二个地方就是，上面的关于‘$‘与‘#’的应用。 
            下面就来说说关于‘$‘与‘#’的应用。在通常情况下ibatis的参数在sqlmap中使用#param#的形式，参数名以’#‘包着，但当使用 sql的like语句时就发生了问题，在单引号中无法使用#param#这种形式。解决办法有： 
　　1.当应用select * from  table1 where  col like ’value%’时，如果要把‘value’以参数代替，可以把整个like后面的字符串 
全改为参数。即：select * from  table1 where  col like #param#  ，此时参数param的值为字符串"value%" 
       2.使用‘$’将参数名包起来。例如：name like ‘%#name#%’。我们的解决方法有2。(a)把name like ‘%#name#%’的#换成$，即：name like ‘%$name$%’。(b)用||连接字符串的方式，写成，name like ‘%’|| #name#‘%’。

　　3.当使用order by $column_name$，不要使用#column_name#。因为$不会转义，是什么就说什么，#会转成字符串'column_name'。

　　4.#{}是以预编译的形式,是安全的，它将传入的数据都当成一个字符串，会对自动传入的数据加一个双引号，将参数设置到sql语句中，使用PreparedStatement防止sql注入。而${}是未经过预编译的，直接取出的值，直接拼装在sql语句中，存在sql注入的危险，会有安全问题；

　　5.使用${}的情况，order by、like语句只能用${} 了,用#{}会多个’ ’导致sql语句失效。此外动态拼接sql，模糊查询时也要用${}。

本文转自：http://jackyrong.iteye.com/blog/1945853