一、sql映射文件获取参数个数
1、获取单个参数写法
上篇文章CRUD操作以及使用过单个参数
Mybatis对于只有一个参数的情况下,不会做任何处理,我们对传递过来一个id值作为参数,xml文件中就用#{id}来接收,因为只有一个参数实质上#{}里可以是任何字符串都可以,当然为了对应我们建议就用id(可读性强)。
2、获取多个参数的写法
多个参数的情况下,Mybatis会将参数封装为一个Map对象,#{}其实内部是从这个Map对象中根据键获取数值,
接口实现类:
/**
* 根据id和state查询
* @param id
* @param state
* @return List<User>
*/
public List<User> selectUser(Integer id, Integer state);
sql映射文件
1)参数1对应param1,参数2对应param2 ... 以此类推
<select id="selectUser" resultType="cn.jq.mybatis.model.User">
select * from t_user where id >= #{param1} and state = #{param2}
</select>
2)参数1对应索引arg0,参数2对应索引arg1 ... 以此类推
<select id="selectUser" resultType="cn.jq.mybatis.model.User">
select * from t_user where id >= #{arg0} and state = #{arg1}
</select>
3)在接口方法的参数上使用 @param(value) 注解,就可改变封装的map对象的key值,就可以实现接口方法里的参数名和xml文件内接收参数名对应一致,可读性强(推荐使用)
public List<User> selectUser(@Param("id")Integer id, @Param("state")Integer state);
<select id="selectUser" resultType="cn.jq.mybatis.model.User">
select * from t_user where id >= #{id} and state = #{state}
</select>
测试都ok
List<User> userlist = userMapper.selectUser(3, 1);
System.out.println(Arrays.asList(userlist));
----
[[User [id=3, username=li33, pazzword=li33qq, state=1, regDate=Tue Nov 13 09:38:55 CST 2018], User [id=14, username=李四, pazzword=123456, state=1, regDate=Tue Nov 13 09:38:55 CST 2018], User [id=17, username=李四, pazzword=123456, state=1, regDate=Tue Nov 13 16:06:33 CST 2018], User [id=18, username=李四, pazzword=123456, state=1, regDate=Tue Nov 13 16:06:58 CST 2018]]]
4)Mybatis会把参数封装成Map对象,我们就传入一个Map对象,xml文件里获取参数值就用#{Map的key值}:
如果查询的数据不是model包里的任何一个POJO?没有对应的POJO,我们可以构造一个与参数对应的封装对象,如分页查询
public List<User> selectUser(Map<String, Object> map);
<select id="selectUser" resultType="cn.jq.mybatis.model.User">
select * from t_user where id >= #{id} and state = #{state}
</select>
Map<String, Object> map = new HashMap<>();
map.put("id", 3);
map.put("state", 1);
List<User> userlist = userMapper.selectUser(map);
System.out.println(Arrays.asList(userlist));
二、sql映射文件获取参数的类型是集合或数组
在Mybatis你还有一些特殊处理的参数类型要特别注意:如果参数类型是集合Collection(List,Set)或者是数组,Mybatis也会把这些类型的参数封装在一个Map对象中传递到xml文件,
1、集合类型(List,Set)的变量,xml取值的时map的key是 collection[index],List集合时也可使用 list[index] ,
public List<User> selectUser(List<String> paramlist);
<select id="selectUser" resultType="cn.jq.mybatis.model.User">
select * from t_user where id >= #{collection[0]} and state = #{collection[1]}
</select>
List<String> paramlist = new ArrayList<>();
paramlist.add("3");
paramlist.add("1");
List<User> userlist = userMapper.selectUser(paramlist);
System.out.println(Arrays.asList(userlist));
2、数组类型map的key是 array[index]
public List<User> selectUser(String[] strArr);
<select id="selectUser" resultType="cn.jq.mybatis.model.User">
select * from t_user where id >= #{array[0]} and state = #{array[1]}
</select>
String[] strArr = {"3","1"};
List<User> userlist = userMapper.selectUser(strArr);
System.out.println(Arrays.asList(userlist));
三、sql映射文件获取参数的符号 #{} 和 ${} 的区别
MyBatis中#{ }和${ }都可以用来动态传递参数
#{} 对应底层使用 jdbc 的 PreparedStatementd 对象来执行sql语句,在SQL中相当于一个参数占位符“?”,用来补全预编译语句。它补全预编译语句时,可以理解为在此参数值两端加了单引号。
${} 对应底层使用 jdbc 的 Statement 对象来执行sql语句,就是单纯的字符串拼接,拼接完成后才会对SQL进行编译、执行,所以性能较低,也无法复用。但是在有些#{ }无法胜任的地方,还是会需要${ }来完成。
结论:
#{} 很大程度防止sql注入,提高系统安全,一般能用#的就别用$.
${} 无法防止Sql注入,特殊的情况下使用它,凡是原生的jdbc不能使用占位符的地方,就只能使用它,因为PreparedStatementd中,可以用占位符的地方之后,where条件语句的参数中,其他地方不能用,比如用表名称,order by 排序字段,这些地方是不能用?占位符的
#{} 里除了可以写接收参数的名称外,还可以设置javaType,jdbcType,mode,numericScale,resultMap,typeHandler,jdbcTypeName属性。