关于Mybatis中Mapper输入参数的两种取值符号

最新推荐文章于 2023-11-29 21:12:28 发布
最新推荐文章于 2023-11-29 21:12:28 发布
阅读量2.9k 收藏 6
点赞数 8
文章标签: mybatis 参数传值
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43249548/article/details/100895361
版权

在使用Mybatis框架时,我们会使用Mapper配置文件来定义sql语句以实现我们所需要的增删改查。而对于sql语句中所需要的参数的传递,是一个非常常见的问题,在jdbc中我们可以使用PreparedStatement来传递我们所需要的参数。在Mybatis中,我们使用parameterType来传递输入参数(如果觉得此处唠叨,就当凑个字数)。

而对于参数来说,我们平常常见的就是八大基本类型+String。在Mapper中,我们利用书写 #{ }或者${ }来在SQL 中获取我们传来的参数,那么,二者有什么区别呢?接下来就是我个人对其的一些总结:

1.若传递的参数为8大基本类型或者String,如果使用#{ }的方式,在花括号中可以填入任意参数名都可以,例如

<mapper namespace="com.charles.mybatis.personMapper">
		<select id="selectPersonById" resultType="com.charles.mybatis.person" parameterType="int">
			select * from person where id = #{AnyParaName}
		</select>
	</mapper>

2.若传递的参数为8大基本类型或者String,如果使${ }的方式,在花括号中必须填入value,例如

<mapper namespace="com.charles.mybatis.personMapper">
		<select id="selectPersonById" resultType="com.charles.mybatis.person" parameterType="int">
			select * from person where id = #{value}
		</select>
	</mapper>

3.若传入参数为对象类型,使用#{ }和${ }都需要传入对象的属性名,例如

<mapper namespace="com.charles.mybatis.personMapper">
		<select id="com.charles.mybatis.person" resultType="com.charles.mybatis.person" parameterType="int">
			select * from person where id = #{id}
		</select>
	</mapper>

4.两者都可以支持对象的级联属性。

 

5.在使用String数据类型作为参数时,#{}自动为其添加双引号,${}原样输出,不添加任何东西。接下来,用一个小demo来具体操作一下,验证其正确性。

 

建立pojo person.java

package com.charles.mybatis;

public class person {
	private int id;
	private String name;
	public person(int id, String name) {
		super();
		this.id = id;
		this.name = name;
	}
	public int getId() {
		return id;
	}
	public void setId(int id) {
		this.id = id;
	}
	public String getName() {
		return name;
	}
	public void setName(String name) {
		this.name = name;
	}
	public person() {
		super();
	}
	@Override
	public String toString() {
		return "person [id=" + id + ", name=" + name + "]";
	}
	

}

建立mybatis配置文件

<?xml version="1.0" encoding="UTF-8" ?>
<!DOCTYPE configuration
PUBLIC "-//mybatis.org//DTD Config 3.0//EN"
"http://mybatis.org/dtd/mybatis-3-config.dtd">
<configuration>
	<properties resource="db.properties"></properties>
		<typeAliases>
			<package name="com.charles.pojo"/>
		</typeAliases>
		<typeHandlers>
			 <typeHandler handler="com.charles.converter.StringAndIntConverter" javaType="String" jdbcType="INTEGER"/>	
		</typeHandlers>
	<environments default="development">
	
		<environment id="development">
		<transactionManager type="JDBC"/>
		<dataSource type="POOLED">
				<property name="driver" value="${driver}"/>
				<property name="url" value="${url}"/>
				<property name="username" value="${username}"/>
				<property name="password" value="${password}"/>
		</dataSource>
		</environment>
	</environments>
	<mappers>
		<mapper resource="com/charles/pojo/personMapper.xml"/>
	</mappers>
</configuration>

建立数据库配置文件

driver=com.mysql.jdbc.Driver
url=jdbc:mysql://localhost:3306/mybatis
username=root
password=charles

建立mapper代理接口

package com.charles.mapper;
import java.util.List;
import com.charles.pojo.person;
public interface personMapper {
	person queryByName(String name);
	person queryByName1(String name);
	person queryByName2(String name);
	person queryByName3(String name);

}

之后,建立mapper配置文件,定义了四个查询语句,每一个的参数使用形式不同,观察其执行。

<?xml version="1.0" encoding="UTF-8" ?>
<!DOCTYPE mapper
PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN"
"http://mybatis.org/dtd/mybatis-3-mapper.dtd">
	<mapper namespace="com.charles.mapper.personMapper">
	
	<select id="queryByName" parameterType="String" resultType="person">
		select * from person where name=#{name}
	</select>

	<select id="queryByName1" parameterType="String" resultType="person">
		select * from person where name=${name}
	</select>

	<select id="queryByName2" parameterType="String" resultType="person">
		select * from person where name=${value}
	</select>

	<select id="queryByName3" parameterType="String" resultType="person">
		select * from person where name='${value}'
	</select>	
			<resultMap type="person" id="personResultMap">
				 <id property="id" column="id" javaType="String" jdbcType="INTEGER"/>
				 <result property="name" column="name"/>
			</resultMap>
	</mapper>

最后,创建一个测试类,完成demo的测试,分别执行main方法里面的四个函数调用,观察执行结果

package com.charles.pojo;

import java.io.IOException;
import java.io.Reader;
import java.util.List;

import org.apache.ibatis.io.Resources;
import org.apache.ibatis.session.SqlSession;
import org.apache.ibatis.session.SqlSessionFactory;
import org.apache.ibatis.session.SqlSessionFactoryBuilder;

import com.charles.mapper.personMapper;

public class test
{
	public static void main(String[] args) throws IOException 
	{
//		queryByName("charleschou");
//		queryByName1("charleschou");
//		queryByName2("charleschou");
//		queryByName3("charleschou");
	}
	public static void queryByName(String name) throws IOException
	{
		Reader reader=Resources.getResourceAsReader("conf.xml");
		SqlSessionFactory build = new SqlSessionFactoryBuilder().build(reader);
		SqlSession session=build.openSession();
		personMapper mapper = session.getMapper(personMapper.class);
		person queryByName = mapper.queryByName("charleschou");
		System.out.println(queryByName);
	}
	public static void queryByName1(String name) throws IOException
	{
		Reader reader=Resources.getResourceAsReader("conf.xml");
		SqlSessionFactory build = new SqlSessionFactoryBuilder().build(reader);
		SqlSession session=build.openSession();
		personMapper mapper = session.getMapper(personMapper.class);
		person queryByName = mapper.queryByName1("charleschou");
		System.out.println(queryByName);
	}
	public static void queryByName2(String name) throws IOException
	{
		Reader reader=Resources.getResourceAsReader("conf.xml");
		SqlSessionFactory build = new SqlSessionFactoryBuilder().build(reader);
		SqlSession session=build.openSession();
		personMapper mapper = session.getMapper(personMapper.class);
		person queryByName = mapper.queryByName2("charleschou");
		System.out.println(queryByName);
	}
	public static void queryByName3(String name) throws IOException
	{
		Reader reader=Resources.getResourceAsReader("conf.xml");
		SqlSessionFactory build = new SqlSessionFactoryBuilder().build(reader);
		SqlSession session=build.openSession();
		personMapper mapper = session.getMapper(personMapper.class);
		person queryByName = mapper.queryByName3("charleschou");
		System.out.println(queryByName);
	}
	

}

(我的数据库此时是有数据的),观察执行结果,第一个方法调用queryByName(),

查询数据正常,接下来,第二个方法调用 queryByName1(),

 查询失败,观察我们mapper中第二个sql语句的书写

select * from person where name=${name}

在使用${}时,里面只能是value,否则报错;因此我们将其改为value,观察第三个方法的调用queryByName2(),

此处依旧报错,观察我们的mapper文件第三个语句, 

select * from person where name=${value}

其报错原因是因为,当有参数传递进来时,mapper的${}接收到参数,然后将该sql语句转为:

select * from person where name=charleschou

很明显这是一条错误的语句,因为我们没单引号,因此程序依旧会报错,我们需要的sql语句应该是

select * from person where name='charleschou'

因此,观察第四个方法的调用queryByName3()

执行成功,观察mapper文件中的最后一个查询语句,我们手动添加了单引号,因此不报错

select * from person where name='${value}'

 

 

对于两种参数获取方式的使用, 这里再总结一点,使用#{}方式,可以防止sql注入,而${}方式,则不能防止sql注入。

那么,我们实际开发或者使用中,应该避免使用${}方式吗?答案是否定的,虽然这种方式不能防注入,也不能自动加单引号,但是它可以用作其他用途,比如在查询批量数据需要根据字段排序时,我们可以利用此方式动态的将字段传入到sql中从而达到我们想要的效果!

Charles Chou
关注
  • 8
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
MYBATIS框架学习之MAPPER.XML 文件输入参数详解
Jason的博客
08-02 1039
1.简介 在前面的章节,我们看到,在 mapper.xml 文件,都使用 #{value} 或者 #{属性值} 的方式来显示输入参数,其实 mybatis 还支持另一种写法。 ${value} 或者 ${属性值},本章着重讲解下 ${} 的使用方法; 2. # 和 $ 二者异同 2.1 不同点如下 #{} 这种方式会自动给 {} 里面的值附上 ’ '(单引号);KaTeX parse error: Expected 'EOF', got '#' at position 16: {} 这种方式只是会原样
mybatis
T的博客
04-19 445
              mybatis 的 占位符  #{},它还有一个功能,可以取值            1.如果传入的参数为 非常用类型(常用类型 8种基本数据类型 和 String类型)。 占位符的名称就是对象类型的属性。                        2.如果掺入参数是 常用类型,并且只有一个参数,#{随便写}            增删改查是没有resultn...
MyBatis的特殊符号[20160713]
weixin_30457065的博客
07-13 223
今天午回到工位已经是12:20多了,没有时间睡觉了,本想着还能提前开始,结果看了点新闻之后,又是12:40了,所以新闻坚决不能看,执行力。 今天主要记录一下MyBatis的特殊符号的问题,这个问题已经在面试被问到了两回了,但都没答好,事不过三,记录下来,下一次绝对不能再在这里出问题了。 一、mybatis特点 同hibernate一样,mybatis是一个持久层框架,通...
(三)Mybatis------引入Mapper接口以及传入各种参数类型
cz_chen_zhuo的博客
08-10 1530
此时返回值类型就不能用resultType,而使用resultMap,并且值为resultMap标签的id值
mapper文件两种取值方式
m0_59776219的博客
07-19 660
1.使用方式 应用场景1:根据字段排序 我们可以使用${}的方式代替sql的字段 2.#{}与${}两种取值语法的区别 2.1 ${} 是以字符串拼接方式生成sql语句。存在sql注入的风险。 2.2 #{}是以占位符的方式生成sql语句 二:实体类起别名 1.第一种方式 注:一个typeAlias标签给一个实体类起别名 2.第二种方式 ...
MyBatis Mapper接受参数的四种方式代码解析
08-25
MyBatis Mapper ,接受参数是非常重要的一步骤,今天我们将详细介绍 MyBatis Mapper 接受参数的四种方式。 单个参数 对于单个参数,可以直接写 `#{param}`,这里的占位符名称没有限制,反正就一个参数一个占位...
详解Mybatis通用Mapper介绍与使用
08-27
Mybatis通用Mapper是一种基于Mybatis的插件,旨在解决单表增删改查操作的烦恼。它可以自动生成CRUD操作的SQL语句,无需手动编写SQL语句,极大地提高了开发效率。 通用Mapper的优点 1. 高度自动化:通用Mapper可以...
MybatisMapper标签总结大全
08-19
MybatisMapper标签总结大全 Mybatis是当前Java开发最流行的持久层框架之一,Mapper标签是Mybatis最重要的标签之一,用于定义数据访问对象(DAO)的数据库操作。下面是对MybatisMapper标签的总结。 ...
用aspectj拦截mybatis mapper的一种可行方案
12-21
在Java开发MyBatis是一个非常流行的持久层框架,用于简化数据库操作。然而,有时候我们需要在特定的Mapper方法执行前后添加自定义的行为,如日志记录、事务控制或性能监控。这时,AspectJ就可以派上用场。...
关于mybatis mapper类注入失败的解决方案
08-19
命名空间是Mapper类的唯一标识符,用于标识Mapper类在MyBatis的位置。如果命名空间不正确,Mapper类可能无法正确地注入到容器。 ### 3. 检查Spring配置文件 在Spring配置文件,需要正确地配置MyBatis的相关...
mybatis参数输入 #{}和${}
最新发布
小丁的博客
11-29 441
#{} 相当于 之前的占位符 ”?“ PreparedStatement:执行预处理SQL命令 ${} 是拼接 Statement:执行SQL命令,注入式漏洞 " lina ' or 1=1 or emp_name like' "
mybatismapper文件的大于号特殊符号使用
weixin_33859844的博客
08-17 398
第一种方法: 用了转义字符把&gt;和&lt;替换掉,然后就没有问题了。   SELECT * FROM test WHERE 1 = 1 AND start_date  &amp;lt;= CURRENT_DATE AND end_date &amp;gt;= CURRENT_DATE   附:XML转义字符                      &amp;lt;         ...
mybatismapper类报错Error:(60,54) java: 找不到符号
MieMieFly的专栏
03-03 2850
SysConfigEntity version = sysConfigMapper.findOneByCode(VERSION_KEY); sysConfigMapper这个标识报错"Error:(60,54) java: 找不到符号", clean之后还是maven 编译失败. 往下查看,发现 mapper类与 xml的参数名不一致,修改后重新编译成功. ...
mybatismapper的特殊符号处理
weixin_33686714的博客
09-04 473
这种问题在xml处理sql的程序经常需要我们来进行特殊处理。      其实很简单,我们只需作如下替换即可避免上述的错误:   &lt; &lt;= &gt; &gt;= &amp; ' " &amp;lt; &amp;lt;= &amp;gt; &amp;gt;= &amp;amp; &amp;apos; &amp;quot; 备注:&gt;=号可
mybatis ---mapper里引号无法识别处理办法
weixin_41716115的博客
12-21 2123
1.有时mapper里引号无法识别时,可以用标识符(&amp;quot;)来代替引号(""), 例如:  
基于通用Mapper、Rest写api接口报错:Error: 3, 27 java: 找不到符号 符号: 类 #### 位置: 程序包 ##.###.pojo
qq_38875580的博客
11-21 902
最近在做毕设Web项目时,基于通用Mapper、Rest写api接口报错:Error: 3, 27 java: 找不到符号 符号: 类 #### 位置: 程序包 ##.###.pojo,在做完MyBatis逆向工具后,导Bean后报错,因为我用“”这个结构,可能这个结构是有ResultMap追加导致异常; 解决办法:用Maven的Clean清理下就好了 最后成功: ...
关于MyBatisMapper.xml SQL语句的编写
qq_58718649的博客
11-10 3387
select
spring配置文件读取外部properties,把${}占位符解析成字符串!
New_Yao的博客
01-04 7203
启动报错如下: [2019/01/04 17:10:01,507] [ WARN] [org.springframework.web.context.support.XmlWebApplicationContext:546] - Exception encountered during context initialization - cancelling refresh attempt: org...
Mappersql语句#{}和${}的区别
qq_48366199的博客
09-22 385
1.#{} 对应的变量会自动加上单引号 ${} 对应的变量不会加上单引号 2.#{} 能防止sql 注入 ${} 不能防止sql 注入 注:SQL 注入是一种非常常见的数据库攻击手段,SQL 注入漏洞也是网络世界最普遍的漏洞 之一,SQL 注入其实就是恶意用户通过在表单填写包含 SQL 关键字的数据来使数据库执行非常 规代码的过程。 ...
mybatismapper标签参数个数判断
05-18
MyBatis mapper 标签的参数个数主要用于判断 SQL 语句参数个数是否正确,以及在执行 SQL 语句时传递参数的正确性。 具体来说,如果 mapper 标签参数个数与 SQL 语句参数个数不一致,就会抛出异常。如果 SQL 语句参数,但是 mapper 标签没有对应的参数,则会导致参数传递错误,从而出现错误的结果。 为了避免这些问题,我们可以通过以下几种方式来判断 mapper 标签的参数个数是否正确: 1. 在 mapper 文件使用 ${} 来代替 #{},这样可以直接将参数写入 SQL 语句,避免参数个数不一致的问题。 2. 在 mapper 标签使用 parameterType 属性指定参数类型,这样可以确保参数传递的正确性。 3. 在 mapper 标签使用 resultMap 属性,将结果映射到一个 Java 对象,避免出现错误的结果。 总的来说,正确使用 mapper 标签的参数个数非常重要,可以避免很多潜在的问题。在实际开发,我们应该尽可能地遵循规范,确保代码的正确性和可靠性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值