1.最好搭配 @Param注解进行使用,否则对于单个参数,使用_parameter作为参数名绑定
2.访问支持【对象.属性】,所以方法构建时传入查询实体是减少方法入参同时减少耦合,提高灵活度的好方法,使用的时候例如
#{record.userId}
3.#{}绑定的参数等同于JDBC中的PrepareStatement方式,通过占位符生成SQL的预编译缓存在数据库内部,用于提高效率,避免每一次查询都要执行一次分析计划,例如select name,age,gender from user where age = #{record.age}
会被转化为
select name,age,gender from user where age = ? --pstmt.setInt(20);//record.age假设为20
4.既然原理是PreparedStatement,那么相应的使用#{}方式也可以避免SQL注入,可以一定程度上提高程序的安全和健壮性。
5.$(),其实等同于我们传统的拼SQL,虽然MyBatis仍然使用了PreparedStament,但是因为没有动态的进行参数绑定,所以安全性会降低,也无法避免SQL注入的情况。
5.注意一点,虽然我们可以使用MyBatis动态SQL中的foreach进行类似于范围查询IN,但是如果我们使用了程序获取IN中需要查询的范围字符串,例如‘a’,‘b’,‘c’,那么我们此时如果使用#{_parameter}来传递参数时,该字符串会被解析为’‘a’,‘b’,‘c’’,虽然不会让SQL报错,但是结果很显然不会是我们希望得到的,所以如果使用这种方式传递IN内部的参数,我们可以使用${_parameter},因为${}是不会对我们传递的参数根据类型而转义的,所以相当于直接替换。
6.还有一点需要注意的,IN查询中参数的数目是有上限的,上限为1000(Oracle),所以如果在我们预见范围内该参数可能会超过限制的数目,我们可以在程序中人为的拼接 OR 取多个IN范围的并集,这样就可以避免这种情况。