本文主要介绍在mybatis中如何在sql语句中传递参数

一. #{ } 和 ${ }

  1. #{ } 和 ${ }的区别

  #{ }是预编译处理 ==> PreparedStatement

  ${ }是字符串替换 ==> Statement

  mybatis在处理 #{ } 时,会将sql中的 # { } 替换为?号,调用PreparedStatement的set()方法来赋值;

  mybatis在处理 ${ } 时,会将 ${ } 替换成变量的值。

  因此 #{ }可以防止sql注入,而 ${ }不可以防止sql注入。

  注意:在使用 ${ }时,需要在 ${ } 打上 '   ',即 ' ${ } '。

  2. #{ } 和 ${ } 的使用

  2.1 当查询条件只有一个时

  首先看看UserMapper接口的定义:

public interface UserMapper {

    // 按照姓名查询数据

    User getUserByName(String username);

}

  1)在UserMapper.xml文件中,使用 #{ } 传递参数

<mapper namespace="com.hspedu.mapper.UserMapper">

    <!--User getUserByName()-->

    <select id="getUserByName" resultType="User">

        <!--select * from t_user where username = #{username}-->

        select * from t_user where username = #{param2}

    </select>

</mapper>

  测试test

    // 按姓名查询数据

    @Test

    public void selectUserByName(){

        SqlSession sqlSession = SqlSessionUtils.getSqlSession();

        UserMapper mapper = sqlSession.getMapper(UserMapper.class);

        User jack = mapper.getUserByName("jack");

        System.out.println(jack);

        SqlSessionUtils.closeSqlSession();

    }

  运行结果

   xml文件中的sql语句

select * from t_user where username = #{param2}

  上述的sql语句解析为:

select * from t_user where username = 'jack'

  注意:当mapper接口的查询方法的形参列表只有一个的情况下, #{ }中的参数可以随便书写

  2)在在UserMapper.xml文件中,使用 ${ } 传递参数

<mapper namespace="com.hspedu.mapper.UserMapper">

    <!--User getUserByName()-->

    <select id="getUserByName" resultType="User">

        select * from t_user where username = '${param2}'

    </select>

</mapper>

  注意:在使用 ${ }时,需要在 ${ } 打上 '   ',即 ' ${ } '。

  测试test

    // 按姓名查询数据

    @Test

    public void selectUserByName(){

        SqlSession sqlSession = SqlSessionUtils.getSqlSession();

        UserMapper mapper = sqlSession.getMapper(UserMapper.class);

        User jack = mapper.getUserByName("jack");

        System.out.println(jack);

        SqlSessionUtils.closeSqlSession();

    }

  运行结果

  xml文件中的sql语句

select * from t_user where username = '${param2}'

  上述的sql语句解析为

select * from t_user where username = 'jack'

  由此可见,${ } 并没有预编译处理,但是 #{ } 有预编译处理,显示出 #{ } 的安全性 【防止sql注入】

  注意:当mapper接口查询方法的形参列表只有一个的时候,${ }中的参数可以随便书写

  2.2 当查询条件不只有一个时

  以使用 #{ } 传递参数 举例

  情况1:若UserMapper接口声明如下

public interface UserMapper {

    // 按照姓名和密码查询

    User checkLogin(String username,String password);

}

  则 在xml文件中使用args0,args1,param1,param2...作为 #{ }的参数

<mapper namespace="com.hspedu.mapper.UserMapper">

    <!--User checkLogin(String username,String password)-->

    <select id="checkLogin" resultType="User" >

        <!--Available parameters are [arg1, arg0, param1, param2]-->

        select * from t_user where username = #{param1} and password = #{param2}

    </select>

</mapper>

  如果不用args0,args1,param1,param2...,则会报如下异常

org.apache.ibatis.exceptions.PersistenceException:

### Error querying database.  Cause: org.apache.ibatis.binding.BindingException: Parameter 'param' not found. Available parameters are [arg1, arg0, param1, param2]

### Cause: org.apache.ibatis.binding.BindingException: Parameter 'param' not found. Available parameters are [arg1, arg0, param1, param2]

  情况2:若UserMapper接口声明如下

public interface UserMapper {

    // 参数map查询数据

    User checkLoginByMap(Map<String,Object> map);

}

  则 在UserMapper接口的checkLogin()中传入Map类型,达到自定义 #{ } 中参数的名称

  xml文件声明如下,#{ } 传入的参数即Map中K键

<mapper namespace="com.hspedu.mapper.UserMapper">

    <!--User checkLoginByMap(Map<String,Object> map)-->

    <select id="checkLoginByMap" resultType="User" >

        select * from t_user where username = #{username} and password = #{password}

    </select>

</mapper>

  测试test

    @Test

    public void selectByMap(){

        SqlSession sqlSession = SqlSessionUtils.getSqlSession();

        UserMapper mapper = sqlSession.getMapper(UserMapper.class);

        HashMap<String, Object> map = new HashMap<>();

        map.put("username","jack");

        map.put("password","tom12345");

        User user = mapper.checkLoginByMap(map);

        System.out.println(user);

        SqlSessionUtils.closeSqlSession();

        System.out.println(sqlSession);

    }

  注意:在这种情况下,#{ } 的参数必须是形参Map的 key 键。

  情况3:UserMapper接口声明如下

public interface UserMapper {

    // 参数为User添加数据

    int insertByUser(User user);

}

  则 在xml文件声明如下,#{ } 的参数即为User类的属性

<mapper namespace="com.hspedu.mapper.UserMapper">

    <!--int insertUser(User user)-->

    <insert id="insertByUser" >

        insert into t_user values(null,#{username},#{password},#{age},#{gender},#{email})

    </insert>

</mapper>

  测试test

     // 测试使用对象作为参数,添加用户

    @Test

    public void testInsertByUser(){

        SqlSession sqlSession = SqlSessionUtils.getSqlSession();

        UserMapper mapper = sqlSession.getMapper(UserMapper.class);

        User user = new User(null, "hsp", "hsp12345", 25, "男", "hsp123@qq.com");

        int i = mapper.insertByUser(user);

        System.out.println(i);

        sqlSession.close();

    }

  情况4:UserMapper接口声明如下

public interface UserMapper {

    // @Param作为参数

    User checkLoginByParam(@Param("user") String username,@Param("pwd") String password);

}

  xml文件声明如下,使用@Param注解,指明在 #{ } 中传入的参数,更加方便

<mapper namespace="com.hspedu.mapper.UserMapper">

    <!--User checkLoginByParam(@Param("user") String username,@Param("pwd") String password)-->

    <select id="checkLoginByParam" resultType="User" >

        select * from t_user where username = #{user} and password = #{pwd}

    </select>

</mapper>

  测试test

    @Test

    // 通过注解@Param传递参数

    public void testByParam(){

        SqlSession sqlSession = SqlSessionUtils.getSqlSession();

        UserMapper mapper = sqlSession.getMapper(UserMapper.class);

        User user = mapper.checkLoginByParam("jack", "tom12345");

        System.out.println(user);

        sqlSession.close();

    }

二. 总结

  在 #{ } 中:增加,修改使用情况3的处理方式,传入User实体类对象

        查询,使用情况4的处理方式,在mapper接口定义的方法的形参列表中 添加 @Param注解。

MyBatis的使用三(在sql语句中传值)的更多相关文章

  1. MyBatis学习 之 三、SQL语句映射文件(2)增删改查、参数、缓存

    2.2 select 一个select 元素非常简单.例如: <!-- 查询学生,根据id --> <select id="getStudent" paramet ...

  2. 数据库学习(三) sql语句中添加函数 to_char,round,连接符||

    ** to char 是把日期或数字转换为字符串  to date 是把字符串转换为数据库中得日期类型  参考资料:https://www.cnblogs.com/hllnj2008/p/533296 ...

  3. Mybatis中动态SQL语句中的parameterType不同数据类型的用法

    Mybatis中动态SQL语句中的parameterType不同数据类型的用法1. 简单数据类型,    此时#{id,jdbcType=INTEGER}中id可以取任意名字如#{a,jdbcType ...

  4. mybatis sql语句中 in() 长度为0或null的情况

    mybatis sql语句中 in() 长度为0或null的情况 比如: select * from A where colName IN <foreach collection="m ...

  5. MyBatis 动态 SQL 语句中出现 '<' 的问题

    问题描述 映射接口方法如下: /** * 根据姓名和年龄查询用户信息 * @param name 姓名 * @param user 获取年龄 * @return */ public List<U ...

  6. MyBatis 中实现SQL语句中in的操作 (11)

    MyBatis 中实现SQL语句中in的操作 概括:应用myBatis实现SQL查询中IN的操作 1.数据库结构及其数据 2.mapper.xml文件 <?xml version="1 ...

  7. MyBatis Sql语句中的转义字符

    1.在xml的sql语句中,不能直接用大于号.小于号要用转义字符 如果用小于号会报错误如下: org.apache.ibatis.builder.BuilderException: Error cre ...

  8. 160311、mybatis sql语句中转义字符

    问题: 在mapper  ***.xml中的sql语句中,不能直接用大于号.小于号要用转义字符 解决方法:   1.转义字符串 小于号    <    < 大于号    >    & ...

  9. mybatis sql语句中转义字符

    问题: 在mapper  ***.xml中的sql语句中,不能直接用大于号.小于号要用转义字符 解决方法:   1.转义字符串 小于号    <    < 大于号    >    & ...

  10. MyBatis学习总结_11_MyBatis动态Sql语句

    MyBatis中对数据库的操作,有时要带一些条件,因此动态SQL语句非常有必要,下面就主要来讲讲几个常用的动态SQL语句的语法 MyBatis中用于实现动态SQL的元素主要有: if choose(w ...

随机推荐

  1. 三、Ocelot请求聚合与负载均衡

    上一篇文章介绍了在.Net Core中如何使用Ocelot:https://www.cnblogs.com/yangleiyu/p/16847439.html 本文介绍在ocelot的请求聚合与负载均 ...

  2. 看了同事这10个IDEA神级插件,我也悄悄安装了

    昨天,有读者私信发我一篇文章,说里面提到的 Intellij IDEA 插件真心不错,基本上可以一站式开发了,希望能分享给更多的小伙伴,我在本地装了体验了一下,觉得确实值得推荐,希望小伙伴们有时间也可 ...

  3. SpringBoot 01: JavaConfig + @ImportResource + @PropertyResource

    springboot的前置知识:通过注解创建对象和读取配置文件 1. JavaConfig 设计思想 使用java类作为xml配置文件的替代,是配置spring容器的纯java的方式 可以创建java ...

  4. getAddress和getHostAddress的区别

    getAddress方法和getHostAddress类似,它们的唯一区别是getHostAddress方法返回的是字符串形式的IP地址,而getAddress方法返回的是byte数组形式的IP地址.

  5. devexpress中dockManager保存布局后恢复不正常

    在使用dockManager保存布局后进行恢复发现不正常,与中间的gridcontorl接触的都不行.gridcontorl设置的填充是fill 所以在在界面上再添加一个PanelControl控件并 ...

  6. 基于EasyCode定制Mybatisplus全自动单表实现:新增/批量新增/修改/批量删除/分页查询/ID查询

    基于EasyCode定制Mybatisplus全自动单表实现CRUD接口 分页查询 ID查询 新增 批量新增 修改 批量删除 注意使用了MybatisPlus的自动填充功能,和insertBatchS ...

  7. Flutter和Rust如何优雅的交互

    前言 文章的图片链接都是在github上,可能需要...你懂得:本文含有大量关键步骤配置图片,强烈建议在合适环境下阅读 Flutter直接调用C层还是蛮有魅力,想想你练习C++,然后直接能用flutt ...

  8. .net做一个基于ChatGpt的微信机器人吧~[全教程]

    最近这个ChatGPT很火啊,看了B站上很多视频,自己非常手痒,高低自己得整一个啊,很多人都是把ChatGPT和微信结合在一起,正巧我是Wechaty框架的.net sdk贡献者,这不是一应俱全了吗? ...

  9. 第三模块的下载、requests模块、openpyxl模块

    目录 第三方模块的下载安装 下载第三模块的方式 针对下载第三模块时可能会出现的问题 网络爬虫模块之requests模块 自动化办公领域之openpyxl模块 第三方模块的下载安装 第三方模块:别人写的 ...

  10. adb环境配置及常用命令

    一.adb环境配置 1.下载并安装adb驱动 2.下载adb工具platform-tools.rar,解压放在某个文件夹下 3.右击此电脑->属性->高级系统设置->环境变量-> ...