本文主要介绍在mybatis中如何在sql语句中传递参数

一. #{ } 和 ${ }

  1. #{ } 和 ${ }的区别

  #{ }是预编译处理 ==> PreparedStatement

  ${ }是字符串替换 ==> Statement

  mybatis在处理 #{ } 时,会将sql中的 # { } 替换为?号,调用PreparedStatement的set()方法来赋值;

  mybatis在处理 ${ } 时,会将 ${ } 替换成变量的值。

  因此 #{ }可以防止sql注入,而 ${ }不可以防止sql注入。

  注意:在使用 ${ }时,需要在 ${ } 打上 '   ',即 ' ${ } '。

  2. #{ } 和 ${ } 的使用

  2.1 当查询条件只有一个时

  首先看看UserMapper接口的定义:

public interface UserMapper {

    // 按照姓名查询数据

    User getUserByName(String username);

}

  1)在UserMapper.xml文件中,使用 #{ } 传递参数

<mapper namespace="com.hspedu.mapper.UserMapper">

    <!--User getUserByName()-->

    <select id="getUserByName" resultType="User">

        <!--select * from t_user where username = #{username}-->

        select * from t_user where username = #{param2}

    </select>

</mapper>

  测试test

    // 按姓名查询数据

    @Test

    public void selectUserByName(){

        SqlSession sqlSession = SqlSessionUtils.getSqlSession();

        UserMapper mapper = sqlSession.getMapper(UserMapper.class);

        User jack = mapper.getUserByName("jack");

        System.out.println(jack);

        SqlSessionUtils.closeSqlSession();

    }

  运行结果

   xml文件中的sql语句

select * from t_user where username = #{param2}

  上述的sql语句解析为:

select * from t_user where username = 'jack'

  注意:当mapper接口的查询方法的形参列表只有一个的情况下, #{ }中的参数可以随便书写

  2)在在UserMapper.xml文件中,使用 ${ } 传递参数

<mapper namespace="com.hspedu.mapper.UserMapper">

    <!--User getUserByName()-->

    <select id="getUserByName" resultType="User">

        select * from t_user where username = '${param2}'

    </select>

</mapper>

  注意:在使用 ${ }时,需要在 ${ } 打上 '   ',即 ' ${ } '。

  测试test

    // 按姓名查询数据

    @Test

    public void selectUserByName(){

        SqlSession sqlSession = SqlSessionUtils.getSqlSession();

        UserMapper mapper = sqlSession.getMapper(UserMapper.class);

        User jack = mapper.getUserByName("jack");

        System.out.println(jack);

        SqlSessionUtils.closeSqlSession();

    }

  运行结果

  xml文件中的sql语句

select * from t_user where username = '${param2}'

  上述的sql语句解析为

select * from t_user where username = 'jack'

  由此可见,${ } 并没有预编译处理,但是 #{ } 有预编译处理,显示出 #{ } 的安全性 【防止sql注入】

  注意:当mapper接口查询方法的形参列表只有一个的时候,${ }中的参数可以随便书写

  2.2 当查询条件不只有一个时

  以使用 #{ } 传递参数 举例

  情况1:若UserMapper接口声明如下

public interface UserMapper {

    // 按照姓名和密码查询

    User checkLogin(String username,String password);

}

  则 在xml文件中使用args0,args1,param1,param2...作为 #{ }的参数

<mapper namespace="com.hspedu.mapper.UserMapper">

    <!--User checkLogin(String username,String password)-->

    <select id="checkLogin" resultType="User" >

        <!--Available parameters are [arg1, arg0, param1, param2]-->

        select * from t_user where username = #{param1} and password = #{param2}

    </select>

</mapper>

  如果不用args0,args1,param1,param2...,则会报如下异常

org.apache.ibatis.exceptions.PersistenceException:

### Error querying database.  Cause: org.apache.ibatis.binding.BindingException: Parameter 'param' not found. Available parameters are [arg1, arg0, param1, param2]

### Cause: org.apache.ibatis.binding.BindingException: Parameter 'param' not found. Available parameters are [arg1, arg0, param1, param2]

  情况2:若UserMapper接口声明如下

public interface UserMapper {

    // 参数map查询数据

    User checkLoginByMap(Map<String,Object> map);

}

  则 在UserMapper接口的checkLogin()中传入Map类型,达到自定义 #{ } 中参数的名称

  xml文件声明如下,#{ } 传入的参数即Map中K键

<mapper namespace="com.hspedu.mapper.UserMapper">

    <!--User checkLoginByMap(Map<String,Object> map)-->

    <select id="checkLoginByMap" resultType="User" >

        select * from t_user where username = #{username} and password = #{password}

    </select>

</mapper>

  测试test

    @Test

    public void selectByMap(){

        SqlSession sqlSession = SqlSessionUtils.getSqlSession();

        UserMapper mapper = sqlSession.getMapper(UserMapper.class);

        HashMap<String, Object> map = new HashMap<>();

        map.put("username","jack");

        map.put("password","tom12345");

        User user = mapper.checkLoginByMap(map);

        System.out.println(user);

        SqlSessionUtils.closeSqlSession();

        System.out.println(sqlSession);

    }

  注意:在这种情况下,#{ } 的参数必须是形参Map的 key 键。

  情况3:UserMapper接口声明如下

public interface UserMapper {

    // 参数为User添加数据

    int insertByUser(User user);

}

  则 在xml文件声明如下,#{ } 的参数即为User类的属性

<mapper namespace="com.hspedu.mapper.UserMapper">

    <!--int insertUser(User user)-->

    <insert id="insertByUser" >

        insert into t_user values(null,#{username},#{password},#{age},#{gender},#{email})

    </insert>

</mapper>

  测试test

     // 测试使用对象作为参数,添加用户

    @Test

    public void testInsertByUser(){

        SqlSession sqlSession = SqlSessionUtils.getSqlSession();

        UserMapper mapper = sqlSession.getMapper(UserMapper.class);

        User user = new User(null, "hsp", "hsp12345", 25, "男", "hsp123@qq.com");

        int i = mapper.insertByUser(user);

        System.out.println(i);

        sqlSession.close();

    }

  情况4:UserMapper接口声明如下

public interface UserMapper {

    // @Param作为参数

    User checkLoginByParam(@Param("user") String username,@Param("pwd") String password);

}

  xml文件声明如下,使用@Param注解,指明在 #{ } 中传入的参数,更加方便

<mapper namespace="com.hspedu.mapper.UserMapper">

    <!--User checkLoginByParam(@Param("user") String username,@Param("pwd") String password)-->

    <select id="checkLoginByParam" resultType="User" >

        select * from t_user where username = #{user} and password = #{pwd}

    </select>

</mapper>

  测试test

    @Test

    // 通过注解@Param传递参数

    public void testByParam(){

        SqlSession sqlSession = SqlSessionUtils.getSqlSession();

        UserMapper mapper = sqlSession.getMapper(UserMapper.class);

        User user = mapper.checkLoginByParam("jack", "tom12345");

        System.out.println(user);

        sqlSession.close();

    }

二. 总结

  在 #{ } 中:增加,修改使用情况3的处理方式,传入User实体类对象

        查询,使用情况4的处理方式,在mapper接口定义的方法的形参列表中 添加 @Param注解。

MyBatis的使用三(在sql语句中传值)的更多相关文章

  1. MyBatis学习 之 三、SQL语句映射文件(2)增删改查、参数、缓存

    2.2 select 一个select 元素非常简单.例如: <!-- 查询学生,根据id --> <select id="getStudent" paramet ...

  2. 数据库学习(三) sql语句中添加函数 to_char,round,连接符||

    ** to char 是把日期或数字转换为字符串  to date 是把字符串转换为数据库中得日期类型  参考资料:https://www.cnblogs.com/hllnj2008/p/533296 ...

  3. Mybatis中动态SQL语句中的parameterType不同数据类型的用法

    Mybatis中动态SQL语句中的parameterType不同数据类型的用法1. 简单数据类型,    此时#{id,jdbcType=INTEGER}中id可以取任意名字如#{a,jdbcType ...

  4. mybatis sql语句中 in() 长度为0或null的情况

    mybatis sql语句中 in() 长度为0或null的情况 比如: select * from A where colName IN <foreach collection="m ...

  5. MyBatis 动态 SQL 语句中出现 '<' 的问题

    问题描述 映射接口方法如下: /** * 根据姓名和年龄查询用户信息 * @param name 姓名 * @param user 获取年龄 * @return */ public List<U ...

  6. MyBatis 中实现SQL语句中in的操作 (11)

    MyBatis 中实现SQL语句中in的操作 概括:应用myBatis实现SQL查询中IN的操作 1.数据库结构及其数据 2.mapper.xml文件 <?xml version="1 ...

  7. MyBatis Sql语句中的转义字符

    1.在xml的sql语句中,不能直接用大于号.小于号要用转义字符 如果用小于号会报错误如下: org.apache.ibatis.builder.BuilderException: Error cre ...

  8. 160311、mybatis sql语句中转义字符

    问题: 在mapper  ***.xml中的sql语句中,不能直接用大于号.小于号要用转义字符 解决方法:   1.转义字符串 小于号    <    < 大于号    >    & ...

  9. mybatis sql语句中转义字符

    问题: 在mapper  ***.xml中的sql语句中,不能直接用大于号.小于号要用转义字符 解决方法:   1.转义字符串 小于号    <    < 大于号    >    & ...

  10. MyBatis学习总结_11_MyBatis动态Sql语句

    MyBatis中对数据库的操作,有时要带一些条件,因此动态SQL语句非常有必要,下面就主要来讲讲几个常用的动态SQL语句的语法 MyBatis中用于实现动态SQL的元素主要有: if choose(w ...

随机推荐

  1. Redis系列8:Bitmap实现亿万级数据计算

    Redis系列1:深刻理解高性能Redis的本质 Redis系列2:数据持久化提高可用性 Redis系列3:高可用之主从架构 Redis系列4:高可用之Sentinel(哨兵模式) Redis系列5: ...

  2. FlinkSql之TableAPI详解

    一.FlinkSql的概念 核心概念 Flink 的 Table API 和 SQL 是流批统一的 API. 这意味着 Table API & SQL 在无论有限的批式输入还是无限的流式输入下 ...

  3. Java 多线程写zip文件遇到的错误 write beyond end of stream!

    最近在写一个大量小文件直接压缩到一个zip的需求,由于zip中的entry每一个都是独立的,不需要追加写入,也就是一个entry文件,写一个内容, 因此直接使用了多线程来处理,结果就翻车了,代码给出了 ...

  4. Java代码审计sql注入

    java_sec_code 该项目也可以叫做Java Vulnerability Code(Java漏洞代码). 每个漏洞类型代码默认存在安全漏洞(除非本身不存在漏洞),相关修复代码在注释里.具体可查 ...

  5. 【Virt.Contest】CF1155(div.2)

    CF 传送门 T1:Reverse a Substring 只有本身单调不减的字符串不能转换为字典序更小的字符串.否则肯定会出现 \(s_i>s_{i+1}\) 的情况. 所以只要从头到尾扫一遍 ...

  6. 嵌入式-C语言基础:字符串拼接函数strcat

    #include<stdio.h> #include <string.h> //实现字符串拼接 char * mystrcat(char * dest,char * src) ...

  7. Destination folder must be accessible

    问题 Ecplise拖入文件夹项目时提示错误:Destination folder must be accessible 解决 导入的时候包不能直接拖入,要使用import导入,选择File-> ...

  8. i春秋123

    打开是个普普通通的登录窗口,下尝试根据提示12341234进行输入,发现不正确...可能1234是指步骤,然后查看源码 发现了绿色的提示信息,我们就根据提示试试打开user.php 打开是白板网页,源 ...

  9. table 动态隐藏tr行

    table: <table style="width:100%" class="table01" cellspacing="1" ce ...

  10. .NET 6使用ImageSharp给图片添加水印

    ​ .NET 6 中,使用System.Drawing操作图片,生成解决方案或打包的时候,会有警告,意思是System.Drawing仅在 'windows' 上受支持.微软官方的解释是: Syste ...