本文主要介绍在mybatis中如何在sql语句中传递参数
一. #{ } 和 ${ }
1. #{ } 和 ${ }的区别
#{ }是预编译处理 ==> PreparedStatement
${ }是字符串替换 ==> Statement
mybatis在处理 #{ } 时,会将sql中的 # { } 替换为?号,调用PreparedStatement的set()方法来赋值;
mybatis在处理 ${ } 时,会将 ${ } 替换成变量的值。
因此 #{ }可以防止sql注入,而 ${ }不可以防止sql注入。
注意:在使用 ${ }时,需要在 ${ } 打上 ' ',即 ' ${ } '。
2. #{ } 和 ${ } 的使用
2.1 当查询条件只有一个时
首先看看UserMapper接口的定义:
public interface UserMapper { // 按照姓名查询数据 User getUserByName(String username); }
1)在UserMapper.xml文件中,使用 #{ } 传递参数
<mapper namespace="com.hspedu.mapper.UserMapper"> <!--User getUserByName()--> <select id="getUserByName" resultType="User"> <!--select * from t_user where username = #{username}--> select * from t_user where username = #{param2} </select> </mapper>
测试test
// 按姓名查询数据 @Test public void selectUserByName(){ SqlSession sqlSession = SqlSessionUtils.getSqlSession(); UserMapper mapper = sqlSession.getMapper(UserMapper.class); User jack = mapper.getUserByName("jack"); System.out.println(jack); SqlSessionUtils.closeSqlSession(); }
运行结果
xml文件中的sql语句
select * from t_user where username = #{param2}上述的sql语句解析为:
select * from t_user where username = 'jack'
注意:当mapper接口的查询方法的形参列表只有一个的情况下, #{ }中的参数可以随便书写
2)在在UserMapper.xml文件中,使用 ${ } 传递参数
<mapper namespace="com.hspedu.mapper.UserMapper"> <!--User getUserByName()--> <select id="getUserByName" resultType="User"> select * from t_user where username = '${param2}' </select> </mapper>
注意:在使用 ${ }时,需要在 ${ } 打上 ' ',即 ' ${ } '。
测试test
// 按姓名查询数据 @Test public void selectUserByName(){ SqlSession sqlSession = SqlSessionUtils.getSqlSession(); UserMapper mapper = sqlSession.getMapper(UserMapper.class); User jack = mapper.getUserByName("jack"); System.out.println(jack); SqlSessionUtils.closeSqlSession(); }
运行结果
xml文件中的sql语句
select * from t_user where username = '${param2}'上述的sql语句解析为
select * from t_user where username = 'jack'
由此可见,${ } 并没有预编译处理,但是 #{ } 有预编译处理,显示出 #{ } 的安全性 【防止sql注入】
注意:当mapper接口查询方法的形参列表只有一个的时候,${ }中的参数可以随便书写
2.2 当查询条件不只有一个时
以使用 #{ } 传递参数 举例
情况1:若UserMapper接口声明如下
public interface UserMapper { // 按照姓名和密码查询 User checkLogin(String username,String password); }
则 在xml文件中使用args0,args1,param1,param2...作为 #{ }的参数
<mapper namespace="com.hspedu.mapper.UserMapper"> <!--User checkLogin(String username,String password)--> <select id="checkLogin" resultType="User" > <!--Available parameters are [arg1, arg0, param1, param2]--> select * from t_user where username = #{param1} and password = #{param2} </select> </mapper>
如果不用args0,args1,param1,param2...,则会报如下异常
org.apache.ibatis.exceptions.PersistenceException:
### Error querying database. Cause: org.apache.ibatis.binding.BindingException: Parameter 'param' not found. Available parameters are [arg1, arg0, param1, param2]
### Cause: org.apache.ibatis.binding.BindingException: Parameter 'param' not found. Available parameters are [arg1, arg0, param1, param2]情况2:若UserMapper接口声明如下
public interface UserMapper { // 参数map查询数据 User checkLoginByMap(Map<String,Object> map); }
则 在UserMapper接口的checkLogin()中传入Map类型,达到自定义 #{ } 中参数的名称
xml文件声明如下,#{ } 传入的参数即Map中K键
<mapper namespace="com.hspedu.mapper.UserMapper"> <!--User checkLoginByMap(Map<String,Object> map)--> <select id="checkLoginByMap" resultType="User" > select * from t_user where username = #{username} and password = #{password} </select> </mapper>
测试test
@Test public void selectByMap(){ SqlSession sqlSession = SqlSessionUtils.getSqlSession(); UserMapper mapper = sqlSession.getMapper(UserMapper.class); HashMap<String, Object> map = new HashMap<>(); map.put("username","jack"); map.put("password","tom12345"); User user = mapper.checkLoginByMap(map); System.out.println(user); SqlSessionUtils.closeSqlSession(); System.out.println(sqlSession); }
注意:在这种情况下,#{ } 的参数必须是形参Map的 key 键。
情况3:UserMapper接口声明如下
public interface UserMapper { // 参数为User添加数据 int insertByUser(User user); }
则 在xml文件声明如下,#{ } 的参数即为User类的属性
<mapper namespace="com.hspedu.mapper.UserMapper"> <!--int insertUser(User user)--> <insert id="insertByUser" > insert into t_user values(null,#{username},#{password},#{age},#{gender},#{email}) </insert> </mapper>
测试test
// 测试使用对象作为参数,添加用户 @Test public void testInsertByUser(){ SqlSession sqlSession = SqlSessionUtils.getSqlSession(); UserMapper mapper = sqlSession.getMapper(UserMapper.class); User user = new User(null, "hsp", "hsp12345", 25, "男", "hsp123@qq.com"); int i = mapper.insertByUser(user); System.out.println(i); sqlSession.close(); }
情况4:UserMapper接口声明如下
public interface UserMapper { // @Param作为参数 User checkLoginByParam(@Param("user") String username,@Param("pwd") String password); }
xml文件声明如下,使用@Param注解,指明在 #{ } 中传入的参数,更加方便
<mapper namespace="com.hspedu.mapper.UserMapper"> <!--User checkLoginByParam(@Param("user") String username,@Param("pwd") String password)--> <select id="checkLoginByParam" resultType="User" > select * from t_user where username = #{user} and password = #{pwd} </select> </mapper>
测试test
@Test // 通过注解@Param传递参数 public void testByParam(){ SqlSession sqlSession = SqlSessionUtils.getSqlSession(); UserMapper mapper = sqlSession.getMapper(UserMapper.class); User user = mapper.checkLoginByParam("jack", "tom12345"); System.out.println(user); sqlSession.close(); }
二. 总结
在 #{ } 中:增加,修改使用情况3的处理方式,传入User实体类对象
查询,使用情况4的处理方式,在mapper接口定义的方法的形参列表中 添加 @Param注解。