mybatis作为一个轻量级的ORM框架,应用广泛,其上手使用也比较简单;一个成熟的框架,必然有精巧的设计,值得学习。

在使用mybatis框架时,在sql语句中获取传入的参数有如下两种方式:

  • ${paramName}
  • #{paramName}

那如何理解这两种传参方式呢?如下带你走近背后的奥义。

先来回顾下原生Jdbc查询:

public static void main(String[] args) throws Exception {

  // sql语句

  String sql = "select id,name from customer limit 2";

  // 1.加载驱动, 此处使用的mysql驱动包是8.0版本, 若为5.0+版本, 请修改以下类路径

  Class.forName("com.mysql.cj.jdbc.Driver");

  // 2.获取数据库连接

  String url = "jdbc:mysql://localhost:3306/work?useSSL=false&useUnicode=true" +

    "&characterEncoding=UTF-8&useJDBCCompliantTimezoneShift=true" +

    "&useLegacyDatetimeCode=false&serverTimezone=UTC";

  Connection conn = DriverManager.getConnection(url,"root", "123456");

  // 3、获得可以执行sql语句的对象

  Statement st = conn.createStatement();

  // 4、使用对象去执行SQL语句

  ResultSet rs = st.executeQuery(sql);

  // 5、处理sql语句返回的结果集

  while(rs.next()){

    // 获得一行数据

    Integer id = rs.getInt("id");

    String name = rs.getString("name");

    System.out.println("sql查询: id = " + id + " , name = " + name);

  }

  // 6、释放资源

  rs.close();

  st.close();

  conn.close();

}

控制台打印:

sql查询: id = 1 , name = 李白

sql查询: id = 2 , name = 杜甫

了解Jdbc的人会知道,其中第3、4步两条语句也可以换成如下两条:

// 3.创建 PreparedStatement 对象去执行sql

PreparedStatement preparedStatement = conn.prepareStatement(sql);

// 4.执行sql语句

ResultSet rs = preparedStatement.executeQuery()

我们来比较下区别:

  • 创建 PreparedStatement 对象时就把sql语句传入,在执行语句时就不用传入sql了;而 Statement 则刚好相反

这就引出了预编译的概念:

  • 如果使用PreparedStatement对象,那么在执行第3步时,你既然已经传入了sql,则相当于这条sql会被数据库编译(数据库对sql语句的编译也是相当复杂的),所以在第4步执行的时候就不用再传入sql了,因为数据库已经知道你要执行的sql了,你只需要传入参数即可;
  • 如果使用Statement对象,那容易理解,数据库就没有提前去解析你的sql,因为你创建对象时都没有传入;当执行sql时,数据库再编译与执行。

看到这里,可能也仅仅只记住了一个预先编译sql了,一个没有预先编译,并没有了解到对于实际开发中的区别,以下将会举例说明。

那是否PreparedStatement对象这种方式就一定比Statement对象方式好?

没有那么绝对的事,大家要理解:

PreparedStatement对象的好处是,sql已经提前编译好,剩下的工作就是传入参数即可,编译好的sql可以复用,传入不同的参数,则数据库就将相应的参数填入编译好的sql。而Statement对象就是每次都要传入sql,丢给数据库去编译再执行;但是创建PreparedStatement对象的开销是比Statement对象大的。

回归到日常开发中,以上的区别我们压根也不用在意,事实上,百分之九十的场景我们使用的是PreparedStatement对象的方式,可能平时没有感知到,因为这是框架已经封装了。再者,当系统出现性能问题时,也绝对不会是因为这两个对象的原因。

以上简单回顾了下Jdbc中PreparedStatementStatement对象;

可以预料,mybatis中${} 与 #{} 这两种取值方式就是相当于对应着PreparedStatementStatement对象的区别了。

  • #{} 传参,代表sql已经预编译好了,你传入的参数真的就仅仅是参数!
  • ${} 传参,随便你传,传完了之后我再统一编译

那具体在使用中有什么不同呢?理解如下两种场景:

1.看如下service和sql语句

@Override

public List<Map<String, Object>> listUser() {

  String param = " and name = '李白'";

  return indexMapper.listUser(param);

}

<select id="listUser" resultType="map">

  select * from customer

  where 1 = 1 #{param}

</select>

以上代码能正常查询吗?

### Error querying database.  Cause: java.sql.SQLSyntaxErrorException: You have

  an error in your SQL syntax; check the manual that corresponds to your MySQL

    server version for the right syntax to use near '' and name = \'李白\''

不能!会报sql语句规则错误,之前说了,#{} 取值代表sql已经编译好了,你传入的仅仅是参数

对应上面示例:

sql是指:select * from customer where 1 = 1

参数是指:and name = '李白'

此时sql可以正确运行,但是带上传入的参数就不行了,要理解你传入的真的仅仅是参数,不要和前面的sql混了。

但是这明显不对,因为想表达的其实是这样:

sql是指:

select * from customer where 1 = 1 and name = ?

参数是指:'李白'

此时把参数替换进占位符是可以正常运行整个语句的。

所以此时应该用 ,因为用{}就没有提前编译好哪些是属于sql。

此示例表明:当你传入的参数不仅仅是参数,其实是一小段sql,想和原sql拼接在一起时,那就得用${}传参,相当于拼接好了之后丢给

数据库去解析整个语句;

sql中的问号代表参数占位符,这也是PreparedStatement对象特点之一,会将你传入的参数一一替换进占位符

反之如下:

@Override

public List<Map<String, Object>> listUser() {

  String param = "李白";

  return indexMapper.listUser(param);

}

<select id="listUser" resultType="map">

  select * from customer

  where 1 = 1 and name = #{param}

</select>

这种情况使用 #{} 就是对的了,因为传入的参数仅仅就是参数,替换进sql语句中即可。

2.对参数类型的影响

@Override

public List<Map<String, Object>> listUser() {

  String param = "李白";

  return indexMapper.listUser(param);

}

<select id="listUser" resultType="map">

  select * from customer

  where 1 = 1 and name = ${param}

</select>

以上代码能执行成功吗?

按理说,传入的仅仅是参数,不管是否预编译都应该能执行,但是实际还是会报错。

这是执行时打印出的sql语句:

select * from customer where 1 = 1 and name = 李白

显然,问题就在于参数没有加单引号,name字段是字符串类型,传入的也是字符串,偏偏mybatis转换之后没有加单引号。

所以当传入字符串类型参数时,应该用 #{} 取值,此时会自动加上单引号。

再看下面这种语句:

@Override

public List<Map<String, Object>> listUser() {

  String param = "name";

  return indexMapper.listUser(param);

}

<select id="listUser" resultType="map">

  select * from customer

  where 1 = 1

  order by ${param} desc

</select>

此时传入的参数是要排序的字段名称,之前说了,如果采用#{} 取值,则实际是会自动加上单引号的,但是order by后面的排序字段需要单引号吗?

不需要,所以这种情况只能使用 ${} 取值。

你可能会发现此处用 #{} 取值也不会报错,那是因为mysql支持这种写法,但是查询的结果并不对。

日常开发中,只要能理解上述两种情形,那么就能正确使用 ${} 和 #{},由于这两种方式取值原理的区别,也容易明白 #{} 这种方式是可以防止sql注入的。

关于mybatis中的${}、#{},的更多相关文章

  1. [原创]关于mybatis中一级缓存和二级缓存的简单介绍

    关于mybatis中一级缓存和二级缓存的简单介绍 mybatis的一级缓存: MyBatis会在表示会话的SqlSession对象中建立一个简单的缓存,将每次查询到的结果结果缓存起来,当下次查询的时候 ...

  2. 记录一次bug解决过程:mybatis中$和#的使用

    一.总结 mybatis中使用sqlMap进行sql查询时,经常需要动态传递参数.动态SQL是mybatis的强大特性之一,也是它优于其他ORM框架的一个重要原因.mybatis在对sql语句进行预编 ...

  3. mybatis中#{}与${}的差别(如何防止sql注入)

    默认情况下,使用#{}语法,MyBatis会产生PreparedStatement语句中,并且安全的设置PreparedStatement参数,这个过程中MyBatis会进行必要的安全检查和转义. # ...

  4. mybatis 中的where标签

    mybatis中的where标签可以去除 开头的 and 或者 or 但是放在后面的不行 失败的: <select id="countNotesByParam" parame ...

  5. Mybatis中SqlMapper配置的扩展与应用(3)

    隔了两周,首先回顾一下,在Mybatis中的SqlMapper配置文件中引入的几个扩展机制: 1.引入SQL配置函数,简化配置.屏蔽DB底层差异性 2.引入自定义命名空间,允许自定义语句级元素.脚本级 ...

  6. mybatis中使用使用模块化sql

    主要使用到mybatis中的标签 <sql id="tempId"> select * from student <sql> 使用的标签如下: <in ...

  7. “mybatis 中使用foreach 传

    为了帮助网友解决“mybatis 中使用foreach 传”相关的问题,中国学网通过互联网对“mybatis 中使用foreach 传”相关的解决方案进行了整理,用户详细问题包括:mybatismap ...

  8. Mybatis中的in查询和foreach标签

    Mybatis中的foreach的主要用在构建in条件中,它可以在SQL语句中进行迭代一个集合. foreach元素的属性主要有 item,index,collection,open,separato ...

  9. mybatis中foreach的用法(转)

    foreach一共有三种类型,分别为List,[](array),Map三种. foreach属性 属性 描述 item 循环体中的具体对象.支持属性的点路径访问,如item.age,item.inf ...

  10. 6.Mybatis中的动态Sql和Sql片段(Mybatis的一个核心)

    动态Sql是Mybatis的核心,就是对我们的sql语句进行灵活的操作,他可以通过表达式,对sql语句进行判断,然后对其进行灵活的拼接和组装.可以简单的说成Mybatis中可以动态去的判断需不需要某些 ...

随机推荐

  1. RocketMQ 消息集成:多类型业务消息——定时消息

    简介: 本篇将继续业务消息集成的场景,从使用场景.应用案例.功能原理以及最佳实践等角度介绍 RocketMQ 的定时消息功能. 作者:凯易.明锻   引言   Apache RocketMQ 诞生至今 ...

  2. Flink 在唯品会的实践

    简介: Flink 在唯品会的容器化实践应用以及产品化经验. 唯品会自 2017 年开始基于 k8s 深入打造高性能.稳定.可靠.易用的实时计算平台,支持唯品会内部业务在平时以及大促的平稳运行.现平台 ...

  3. [FAQ] crontab 执行curl xxx 好像没有执行 ?

      如果你的crontab任务中的curl命令没有执行,可能有几个原因需要检查: 1. 检查命令路径:确保你在crontab任务中指定了正确的curl命令路径.你可以使用 which curl 命令来 ...

  4. [Go] flag package 指南: 命令行参数标记的解析

    flag 是 Golang 的官方包. 支持用法有三种,不同之处是二三两种用法是 Var() 函数可以绑定 flag 到一个变量上. 直接调用指定类型的函数有多种,如 flag.String(), B ...

  5. 2019-9-2-dotnet-获取当前进程方法

    title author date CreateTime categories dotnet 获取当前进程方法 lindexi 2019-9-2 11:3:3 +0800 2019-09-02 10: ...

  6. SonarQube+Maven+SonarQube Scanner

    1.SonarQube简介 官方网站地址:https://www.sonarqube.org/ SonrQube是一个开源的代码质量管理系统,用于检测代码中的错误,漏洞和代码规范.它可以以现有的Git ...

  7. 007_Orcad运用Excel表格创建复杂元器件

    007_Orcad运用Excel表格创建复杂元器件 以AD9135为例,有88个引脚,如果一个一个输入引脚名,比较慢.用Excel做出引脚列表,比较快捷. 首先需要查询datasheet,用Solid ...

  8. 【2023知乎爬虫】我用Python爬虫爬了2386条知乎评论!

    目录 一.爬取目标 二.展示爬取结果 三.爬虫代码讲解 3.1 分析知乎页面 3.2 爬虫代码 四.同步视频 五.完整源码 您好,我是 @马哥python说,一枚10年程序猿. 一.爬取目标 前些天我 ...

  9. js前端去除HTML标签返回纯字符串正则/<[^>]*>/g

    点击查看代码 let stra = `<p>公告:我们于2024年5月3日下午13:00下架本小程序,请您搜索"好故事"进行观看,您的会员和书豆不会受到影响.感谢您的理 ...

  10. Unity Linear Gamma色彩空间矫正测试

    Gamma和Linear修正的问题相信网上已经有很多文章了.简单来说显示器的颜色输出不是线性的,根据硬件参数和输出颜色 信息拟合曲线是x^2.2,因此会使用一个x^0.45曲线将其拟合回线性. 因为0 ...