MyBatis的使用三(在sql语句中传值)

本文主要介绍在mybatis中如何在sql语句中传递参数

一. #{ } 和 ${ }

　　1. #{ } 和 ${ }的区别

　　#{ }是预编译处理 ==> PreparedStatement

　　${ }是字符串替换 ==> Statement

　　mybatis在处理 #{ } 时，会将sql中的 # { } 替换为?号，调用PreparedStatement的set()方法来赋值；

　　mybatis在处理 ${ } 时，会将 ${ } 替换成变量的值。

　　因此 #{ }可以防止sql注入，而 ${ }不可以防止sql注入。

　　注意：在使用 ${ }时，需要在 ${ } 打上 '   '，即 ' ${ } '。

　　2. #{ } 和 ${ } 的使用

　　2.1 当查询条件只有一个时

　　首先看看UserMapper接口的定义：

public interface UserMapper {     // 按照姓名查询数据     User getUserByName(String username); }

　　1）在UserMapper.xml文件中，使用 #{ } 传递参数

<mapper namespace="com.hspedu.mapper.UserMapper">     <!--User getUserByName()-->     <select id="getUserByName" resultType="User">         <!--select * from t_user where username = #{username}-->         select * from t_user where username = #{param2}     </select> </mapper>

　　测试test

    // 按姓名查询数据     @Test     public void selectUserByName(){         SqlSession sqlSession = SqlSessionUtils.getSqlSession();         UserMapper mapper = sqlSession.getMapper(UserMapper.class);         User jack = mapper.getUserByName("jack");         System.out.println(jack);         SqlSessionUtils.closeSqlSession();      }

　　运行结果

　　 xml文件中的sql语句

select * from t_user where username = #{param2}

　　上述的sql语句解析为：

select * from t_user where username = 'jack'

　　注意：当mapper接口的查询方法的形参列表只有一个的情况下， #{ }中的参数可以随便书写

　　2）在在UserMapper.xml文件中，使用 ${ } 传递参数

<mapper namespace="com.hspedu.mapper.UserMapper">     <!--User getUserByName()-->     <select id="getUserByName" resultType="User">         select * from t_user where username = '${param2}'     </select> </mapper>

　　注意：在使用 ${ }时，需要在 ${ } 打上 '   '，即 ' ${ } '。

　　测试test

    // 按姓名查询数据     @Test     public void selectUserByName(){         SqlSession sqlSession = SqlSessionUtils.getSqlSession();         UserMapper mapper = sqlSession.getMapper(UserMapper.class);         User jack = mapper.getUserByName("jack");         System.out.println(jack);         SqlSessionUtils.closeSqlSession();      }

　　运行结果

 　　xml文件中的sql语句

select * from t_user where username = '${param2}'

　　上述的sql语句解析为

select * from t_user where username = 'jack' 

　　由此可见，${ } 并没有预编译处理，但是 #{ } 有预编译处理，显示出 #{ } 的安全性 【防止sql注入】

　　注意：当mapper接口查询方法的形参列表只有一个的时候，${ }中的参数可以随便书写

　　2.2 当查询条件不只有一个时

　　以使用 #{ } 传递参数 举例

　　情况1：若UserMapper接口声明如下

public interface UserMapper {     // 按照姓名和密码查询     User checkLogin(String username,String password); }

　　则 在xml文件中使用args0，args1，param1，param2...作为 #{ }的参数

<mapper namespace="com.hspedu.mapper.UserMapper">      <!--User checkLogin(String username,String password)-->     <select id="checkLogin" resultType="User" >         <!--Available parameters are [arg1, arg0, param1, param2]-->         select * from t_user where username = #{param1} and password = #{param2}     </select> </mapper>

　　如果不用args0，args1，param1，param2...，则会报如下异常

org.apache.ibatis.exceptions.PersistenceException:  ### Error querying database.  Cause: org.apache.ibatis.binding.BindingException: Parameter 'param' not found. Available parameters are [arg1, arg0, param1, param2] ### Cause: org.apache.ibatis.binding.BindingException: Parameter 'param' not found. Available parameters are [arg1, arg0, param1, param2]

　　情况2：若UserMapper接口声明如下

public interface UserMapper {     // 参数map查询数据     User checkLoginByMap(Map<String,Object> map); }     

　　则 在UserMapper接口的checkLogin()中传入Map类型，达到自定义 #{ } 中参数的名称

　　xml文件声明如下，#{ } 传入的参数即Map中K键

<mapper namespace="com.hspedu.mapper.UserMapper">     <!--User checkLoginByMap(Map<String,Object> map)-->     <select id="checkLoginByMap" resultType="User" >         select * from t_user where username = #{username} and password = #{password}     </select> </mapper>

　　测试test

    @Test     public void selectByMap(){         SqlSession sqlSession = SqlSessionUtils.getSqlSession();         UserMapper mapper = sqlSession.getMapper(UserMapper.class);         HashMap<String, Object> map = new HashMap<>();         map.put("username","jack");         map.put("password","tom12345");         User user = mapper.checkLoginByMap(map);         System.out.println(user);         SqlSessionUtils.closeSqlSession();         System.out.println(sqlSession);     }

　　注意：在这种情况下，#{ } 的参数必须是形参Map的 key 键。

　　情况3：UserMapper接口声明如下

public interface UserMapper {     // 参数为User添加数据     int insertByUser(User user); }

　　则 在xml文件声明如下，#{ } 的参数即为User类的属性

<mapper namespace="com.hspedu.mapper.UserMapper">      <!--int insertUser(User user)-->     <insert id="insertByUser" >         insert into t_user values(null,#{username},#{password},#{age},#{gender},#{email})     </insert> </mapper>

　　测试test

     // 测试使用对象作为参数，添加用户     @Test     public void testInsertByUser(){         SqlSession sqlSession = SqlSessionUtils.getSqlSession();         UserMapper mapper = sqlSession.getMapper(UserMapper.class);         User user = new User(null, "hsp", "hsp12345", 25, "男", "hsp123@qq.com");         int i = mapper.insertByUser(user);         System.out.println(i);         sqlSession.close();     }

　　情况4：UserMapper接口声明如下

public interface UserMapper {     // @Param作为参数     User checkLoginByParam(@Param("user") String username,@Param("pwd") String password); }

　　xml文件声明如下，使用@Param注解，指明在 #{ } 中传入的参数，更加方便

<mapper namespace="com.hspedu.mapper.UserMapper">     <!--User checkLoginByParam(@Param("user") String username,@Param("pwd") String password)-->     <select id="checkLoginByParam" resultType="User" >         select * from t_user where username = #{user} and password = #{pwd}     </select> </mapper>

　　测试test

    @Test     // 通过注解@Param传递参数     public void testByParam(){         SqlSession sqlSession = SqlSessionUtils.getSqlSession();         UserMapper mapper = sqlSession.getMapper(UserMapper.class);         User user = mapper.checkLoginByParam("jack", "tom12345");         System.out.println(user);         sqlSession.close();     }

二. 总结

　　在 #{ } 中：增加，修改使用情况3的处理方式，传入User实体类对象

　　　　　　　 查询，使用情况4的处理方式，在mapper接口定义的方法的形参列表中 添加 @Param注解。