本文主要介绍在mybatis中如何在sql语句中传递参数

一. #{ } 和 ${ }

  1. #{ } 和 ${ }的区别

  #{ }是预编译处理 ==> PreparedStatement

  ${ }是字符串替换 ==> Statement

  mybatis在处理 #{ } 时,会将sql中的 # { } 替换为?号,调用PreparedStatement的set()方法来赋值;

  mybatis在处理 ${ } 时,会将 ${ } 替换成变量的值。

  因此 #{ }可以防止sql注入,而 ${ }不可以防止sql注入。

  注意:在使用 ${ }时,需要在 ${ } 打上 '   ',即 ' ${ } '。

  2. #{ } 和 ${ } 的使用

  2.1 当查询条件只有一个时

  首先看看UserMapper接口的定义:

public interface UserMapper {

    // 按照姓名查询数据

    User getUserByName(String username);

}

  1)在UserMapper.xml文件中,使用 #{ } 传递参数

<mapper namespace="com.hspedu.mapper.UserMapper">

    <!--User getUserByName()-->

    <select id="getUserByName" resultType="User">

        <!--select * from t_user where username = #{username}-->

        select * from t_user where username = #{param2}

    </select>

</mapper>

  测试test

    // 按姓名查询数据

    @Test

    public void selectUserByName(){

        SqlSession sqlSession = SqlSessionUtils.getSqlSession();

        UserMapper mapper = sqlSession.getMapper(UserMapper.class);

        User jack = mapper.getUserByName("jack");

        System.out.println(jack);

        SqlSessionUtils.closeSqlSession();

    }

  运行结果

   xml文件中的sql语句

select * from t_user where username = #{param2}

  上述的sql语句解析为:

select * from t_user where username = 'jack'

  注意:当mapper接口的查询方法的形参列表只有一个的情况下, #{ }中的参数可以随便书写

  2)在在UserMapper.xml文件中,使用 ${ } 传递参数

<mapper namespace="com.hspedu.mapper.UserMapper">

    <!--User getUserByName()-->

    <select id="getUserByName" resultType="User">

        select * from t_user where username = '${param2}'

    </select>

</mapper>

  注意:在使用 ${ }时,需要在 ${ } 打上 '   ',即 ' ${ } '。

  测试test

    // 按姓名查询数据

    @Test

    public void selectUserByName(){

        SqlSession sqlSession = SqlSessionUtils.getSqlSession();

        UserMapper mapper = sqlSession.getMapper(UserMapper.class);

        User jack = mapper.getUserByName("jack");

        System.out.println(jack);

        SqlSessionUtils.closeSqlSession();

    }

  运行结果

  xml文件中的sql语句

select * from t_user where username = '${param2}'

  上述的sql语句解析为

select * from t_user where username = 'jack'

  由此可见,${ } 并没有预编译处理,但是 #{ } 有预编译处理,显示出 #{ } 的安全性 【防止sql注入】

  注意:当mapper接口查询方法的形参列表只有一个的时候,${ }中的参数可以随便书写

  2.2 当查询条件不只有一个时

  以使用 #{ } 传递参数 举例

  情况1:若UserMapper接口声明如下

public interface UserMapper {

    // 按照姓名和密码查询

    User checkLogin(String username,String password);

}

  则 在xml文件中使用args0,args1,param1,param2...作为 #{ }的参数

<mapper namespace="com.hspedu.mapper.UserMapper">

    <!--User checkLogin(String username,String password)-->

    <select id="checkLogin" resultType="User" >

        <!--Available parameters are [arg1, arg0, param1, param2]-->

        select * from t_user where username = #{param1} and password = #{param2}

    </select>

</mapper>

  如果不用args0,args1,param1,param2...,则会报如下异常

org.apache.ibatis.exceptions.PersistenceException:

### Error querying database.  Cause: org.apache.ibatis.binding.BindingException: Parameter 'param' not found. Available parameters are [arg1, arg0, param1, param2]

### Cause: org.apache.ibatis.binding.BindingException: Parameter 'param' not found. Available parameters are [arg1, arg0, param1, param2]

  情况2:若UserMapper接口声明如下

public interface UserMapper {

    // 参数map查询数据

    User checkLoginByMap(Map<String,Object> map);

}

  则 在UserMapper接口的checkLogin()中传入Map类型,达到自定义 #{ } 中参数的名称

  xml文件声明如下,#{ } 传入的参数即Map中K键

<mapper namespace="com.hspedu.mapper.UserMapper">

    <!--User checkLoginByMap(Map<String,Object> map)-->

    <select id="checkLoginByMap" resultType="User" >

        select * from t_user where username = #{username} and password = #{password}

    </select>

</mapper>

  测试test

    @Test

    public void selectByMap(){

        SqlSession sqlSession = SqlSessionUtils.getSqlSession();

        UserMapper mapper = sqlSession.getMapper(UserMapper.class);

        HashMap<String, Object> map = new HashMap<>();

        map.put("username","jack");

        map.put("password","tom12345");

        User user = mapper.checkLoginByMap(map);

        System.out.println(user);

        SqlSessionUtils.closeSqlSession();

        System.out.println(sqlSession);

    }

  注意:在这种情况下,#{ } 的参数必须是形参Map的 key 键。

  情况3:UserMapper接口声明如下

public interface UserMapper {

    // 参数为User添加数据

    int insertByUser(User user);

}

  则 在xml文件声明如下,#{ } 的参数即为User类的属性

<mapper namespace="com.hspedu.mapper.UserMapper">

    <!--int insertUser(User user)-->

    <insert id="insertByUser" >

        insert into t_user values(null,#{username},#{password},#{age},#{gender},#{email})

    </insert>

</mapper>

  测试test

     // 测试使用对象作为参数,添加用户

    @Test

    public void testInsertByUser(){

        SqlSession sqlSession = SqlSessionUtils.getSqlSession();

        UserMapper mapper = sqlSession.getMapper(UserMapper.class);

        User user = new User(null, "hsp", "hsp12345", 25, "男", "hsp123@qq.com");

        int i = mapper.insertByUser(user);

        System.out.println(i);

        sqlSession.close();

    }

  情况4:UserMapper接口声明如下

public interface UserMapper {

    // @Param作为参数

    User checkLoginByParam(@Param("user") String username,@Param("pwd") String password);

}

  xml文件声明如下,使用@Param注解,指明在 #{ } 中传入的参数,更加方便

<mapper namespace="com.hspedu.mapper.UserMapper">

    <!--User checkLoginByParam(@Param("user") String username,@Param("pwd") String password)-->

    <select id="checkLoginByParam" resultType="User" >

        select * from t_user where username = #{user} and password = #{pwd}

    </select>

</mapper>

  测试test

    @Test

    // 通过注解@Param传递参数

    public void testByParam(){

        SqlSession sqlSession = SqlSessionUtils.getSqlSession();

        UserMapper mapper = sqlSession.getMapper(UserMapper.class);

        User user = mapper.checkLoginByParam("jack", "tom12345");

        System.out.println(user);

        sqlSession.close();

    }

二. 总结

  在 #{ } 中:增加,修改使用情况3的处理方式,传入User实体类对象

        查询,使用情况4的处理方式,在mapper接口定义的方法的形参列表中 添加 @Param注解。

MyBatis的使用三(在sql语句中传值)的更多相关文章

  1. MyBatis学习 之 三、SQL语句映射文件(2)增删改查、参数、缓存

    2.2 select 一个select 元素非常简单.例如: <!-- 查询学生,根据id --> <select id="getStudent" paramet ...

  2. 数据库学习(三) sql语句中添加函数 to_char,round,连接符||

    ** to char 是把日期或数字转换为字符串  to date 是把字符串转换为数据库中得日期类型  参考资料:https://www.cnblogs.com/hllnj2008/p/533296 ...

  3. Mybatis中动态SQL语句中的parameterType不同数据类型的用法

    Mybatis中动态SQL语句中的parameterType不同数据类型的用法1. 简单数据类型,    此时#{id,jdbcType=INTEGER}中id可以取任意名字如#{a,jdbcType ...

  4. mybatis sql语句中 in() 长度为0或null的情况

    mybatis sql语句中 in() 长度为0或null的情况 比如: select * from A where colName IN <foreach collection="m ...

  5. MyBatis 动态 SQL 语句中出现 '<' 的问题

    问题描述 映射接口方法如下: /** * 根据姓名和年龄查询用户信息 * @param name 姓名 * @param user 获取年龄 * @return */ public List<U ...

  6. MyBatis 中实现SQL语句中in的操作 (11)

    MyBatis 中实现SQL语句中in的操作 概括:应用myBatis实现SQL查询中IN的操作 1.数据库结构及其数据 2.mapper.xml文件 <?xml version="1 ...

  7. MyBatis Sql语句中的转义字符

    1.在xml的sql语句中,不能直接用大于号.小于号要用转义字符 如果用小于号会报错误如下: org.apache.ibatis.builder.BuilderException: Error cre ...

  8. 160311、mybatis sql语句中转义字符

    问题: 在mapper  ***.xml中的sql语句中,不能直接用大于号.小于号要用转义字符 解决方法:   1.转义字符串 小于号    <    < 大于号    >    & ...

  9. mybatis sql语句中转义字符

    问题: 在mapper  ***.xml中的sql语句中,不能直接用大于号.小于号要用转义字符 解决方法:   1.转义字符串 小于号    <    < 大于号    >    & ...

  10. MyBatis学习总结_11_MyBatis动态Sql语句

    MyBatis中对数据库的操作,有时要带一些条件,因此动态SQL语句非常有必要,下面就主要来讲讲几个常用的动态SQL语句的语法 MyBatis中用于实现动态SQL的元素主要有: if choose(w ...

随机推荐

  1. 2022,一个Java程序猿的装机配置

    起因 工作一年,身边的老同学都在让我推荐适合他们需求的PC主机.于是仔细研究了一下当下的主机配置.成功试水并积攒了经验后,也给自己装了我的第一台PC主机. 主机配置 CPU:12700 主板:华硕TU ...

  2. 解决“fast-forward, aborting”问题

    1. 现象 对某一个远程仓库 git pull 过程中,报错如下: # zl @ srv123 in ~/git/radxa/kernel [14:09:54] $ git pull remote: ...

  3. Django 接收到body后 json.loads() 报编码错误 且在报错之前打印body为空

    python版本 3.7.5 Django版本 3.2.5 猜测可能是Django版本的问题,因为之前并没有出现过如此奇葩的问题. body = request.body.decode('utf-8' ...

  4. polkit(ploicykit)特权提升漏洞解决方案

    一.[概述] polkit 的 pkexec 存在本地权限提升漏洞,已获得普通权限的攻击者可通过此漏洞获取root权限,漏洞利用难度低. pkexec是一个Linux下Polkit里的setuid工具 ...

  5. 单例模式实现的多种方式、pickle序列化模块、选课系统需求分析等

    目录 单例模式实现的多种方式 方式一: 方式二: 方式三 方式四 pickle序列化模块 选课系统需求分析 功能提炼 选课系统架构设计 三层架构 选课系统目录搭建 选课系统功能搭建 单例模式实现的多种 ...

  6. C++ 一个简洁的CHECK宏

    #define CHECK2(condition, message) \ (!(condition)) ? (std::cerr << "Assertion failed: (& ...

  7. layui文件上传+ThinkPHP

    1.前端html代码 <div class="layui-form-item"> <label class="layui-form-label" ...

  8. x=x+=x-=x-x;

    int x=10; x=x+=x-=x-x; // x=x+(x-(x-x)) System.out.println(x); 输出结果20

  9. Excel2010表格内容被加密,无法编辑内容。

    Sub PasswordBreaker() Dim i As Integer, j As Integer, k As Integer Dim l As Integer, m As Integer, n ...

  10. C++动态链接MySQL库

    C++链接MySQL库 库安装目录 CMakeList cmake_minimum_required(VERSION 3.22) project(MySQLConnectionPool) includ ...