Mybatis基础: #{...} 和 ${...} 的区别
MyBatis将
#{…}
解释为JDBC prepared statement 的一个参数标记。而将
${…}
解释为字符串替换。理解这两者的区别是很有用的, 因为在某些SQL语句中并不能使用参数标记(parameter markers)。
比如,我们不能在表名(
table name
)的位置使用参数标记。
假设有下面的代码:
- Map<String, Object> parms = new HashMap<String, Object>();
- parms.put("table", "foo");
- parms.put("criteria", 37);
- List<Object> rows = mapper.generalSelect(parms);
- <select id="generalSelect" parameterType="map">
- select * from ${table} where col1 = #{criteria}
- </select>
MyBatis生成的SQL语句(prepared statement)如下所示:
- select * from foo where col1 = ?
重要提示
: 请注意,使用
$ {…}
(字符串替换)时可能会有SQL注入攻击的风险。另外,字符串替换在处理复杂类型也可能常常发生问题,如日期类型。由于这些因素,我们建议您尽可能地使用
#{…}
这种方式。
要使用LIKE语句该怎么写?
有两种使用LIKE的方法。(推荐使用)第一种方法是,在Java代码中添加SQL通配符。
示例一:
- String wildcardName = "%Smi%";
- List<Name> names = mapper.selectLike(wildcardName);
- <select id="selectLike">
- select * from foo where bar like #{value}
- </select>
第二种方式是在SQL语句中拼接通配符。这种方法相对来说安全性要低一些,因为可能会被SQL注入攻击。
示例二:
- String wildcardName = "Smi";
- List<Name> names = mapper.selectLike(wildcardName);
- <select id="selectLike">
- select * from foo where bar like '%' || '${value}' || '%'
- </select>
重要提示
: 请注意两种方式中
$
和
#
的使用!
如何执行批量插入?
首先,创建一个简单的insert语句:
- <insert id="insertName">
- insert into names (name) values (#{value})
- </insert>
然后在Java代码中像下面这样执行批处理插入:
- List<String> names = new ArrayList<String>();
- names.add("Fred");
- names.add("Barney");
- names.add("Betty");
- names.add("Wilma");
-
-
- SqlSession sqlSession = sqlSessionFactory.openSession(ExecutorType.BATCH);
- try {
- NameMapper mapper = sqlSession.getMapper(NameMapper.class);
- for (String name : names) {
- mapper.insertName(name);
- }
- sqlSession.commit();
- } finally {
- sqlSession.close();
- }
如何获取自动生成的(主)键值?
insert 方法总是返回一个int值 - 这个值代表的是插入的行数。而自动生成的键值在 insert 方法执行完后可以被设置到传入的参数对象中。
示例:
- <insert id="insertName" useGeneratedKeys="true" keyProperty="id">
- insert into names (name) values (#{name})
- </insert>
- Name name = new Name();
- name.setName("Fred");
-
- int rows = mapper.insertName(name);
-
- System.out.println("rows inserted = " + rows);
- System.out.println("generated key value = " + name.getId());
在mapper中如何传递多个参数?
Java的反射机制并不能让框架获取到参数的名字(方法签名中只有参数类型,可以说是为了优化,也可以说设计就是如此,总之名字无意义), 所以MyBatis默认的命名为: param1,param2……
如果想给他们指定名称,可以使用
@param
注解:
- import org.apache.ibatis.annotations.Param;
- public interface UserMapper {
- User selectUser(@Param("username") String username,
- @Param("hashedPassword") String hashedPassword);
- }
然后,就可以在xml像下面这样使用(推荐封装为一个Map,作为单个参数传递给Mapper):
- <select id=”selectUser” resultType=”User”>
- select id, username, hashedPassword
- from some_table
- where username = #{username}
- and hashedPassword = #{hashedPassword}
- </select>
原文链接:
http://blog.csdn.net/renfufei/article/details/39649707