问题:
mybatis mapper将参数作为字段查询或查询的表名
解决方案:
在传入“表名”作为参数时,一定要使用“${tableName}”的格式,而不能使用“#{tableName}”的格式。
在传入的参数“字段名”作为select、create、alter等后面的查询或创建列时,一定要使用“${column}”的格式,而不能使用“#{tableName}”的格式。
原因:
- 在动态sql解析过程,#{ }与${ }的效果是不一样的:
- #{ }解析为一个 JDBC 预编译语句(prepared statement)的参数标记符。
- sql语句:select #{column},name from test where name = #{name};
- 会被解析为:select ?,name from test where name = ?;
- #{ }被解析为一个参数占位符“?”,select后面的“?”在运行时会报异常,无法解析。
- ${ } 仅仅为一个纯粹的字符串(String)替换,在动态 SQL 解析阶段将会进行变量替换
- sql语句:select ${column},name from test where name = ${name};
- 当传递参数“sex”、“user”时,sql会解析为:select sex,name from test where name = "user";
- 可以看到预编译之前的sql语句已经不包含变量column和name了。
- 综上,${}的变量的替换阶段是在动态 SQL 解析阶段,而#{}的变量的替换是在 DBMS 中。
相关知识点:
- #{}将传入的参数当成一个字符串,会给传入的参数加一个双引号
- ${}将传入的参数直接显示生成在sql中,不会添加引号
- #{}能够很大程度上防止sql注入,${}无法防止sql注入
代码示例:
1.mapper接口文件
/**
* test表的Mapper
*/
public interface TestMapper {
/**
* 修改数据库的表名字
* @param originalTableName
* @param newTableName
* @return
*/
int alterTableName(@Param("originalTableName") String originalTableName,
@Param("newTableName") String newTableName);
/**
* truncate指定数据库表的数据
* @param tableName
* @return
*/
int truncateTable(@Param("tableName") String tableName);
/**
* 根据传入的表名,创建新的表并且将原表的数据插入到新表中
* @param newTableName
* @param originalTableName
*/
void createNewTableAndInsertData(@Param("newTableName") String newTableName,
@Param("originalTableName") String originalTableName);
/**
* 统计某张表中相关记录。
* @param columnName
* @param tableName
* @return 相关数据
*/
List<T> getRecord(@Param("columnName") String columnName,@Param("tableName") String tableName);
}
2.mapper.xml文件
<mapper namespace="com.test.TestMapper">
<update id="alterTableName">
alter table ${originalTableName} rename ${newTableName}
</update>
<update id="truncateTable">
truncate table ${tableName}
</update>
<update id="createNewTableAndInsertData">
create table ${newTableName} as select * from ${originalTableName}
</update>
<select id="getRecord" resultType="int">
select ${columnName} from ${tableName}
</select>
</mapper>
注:转载请注明出处,文章中内容有参考其他文章,谢谢合作。