前言:
在项目中遇到没有在dao层方法中写@Param注解的情况,那时候在mybatis中写参数会收到限制,这次一起简单的看看吧。
1、@Param
需要引入 import org.apache.ibatis.annotations. Param ;Demo1:
List<TrainingProgramsModel> queryTrainingProgramsModelList(@Param("ids") List<String> ids);
Demo2:
List<TrainingProgramsModel>queryTrainingProgramByProIdListAndGradList(@Param("proIdList") List<String>proIdList,@Param("gradeList")List<String>gradeList,@Param("strLike")StringstrLike);
如果不用@Param("strLike"),在mapper中将不能使用strLike,如#{strLike},strLike会找不到。只能用0 ,1 下标对应方法中传来的参数,如#{0},或者用#{param1}代替。
使用@Param注解mybatis举例:
<selectid="queryTrainingProgramByProIdListAndGradList"resultMap="TPModel">
SELECT
vc.*
FROM
v_train_course_dictionaryvc
LEFT JOIN tt_training_programs tp ON vc.id=tp.id
WHERE
tp.is_delete=0
ANDtp.is_use=1
<if test="proIdList!=null and proIdList.size()>0">
AND tp.profession_id IN
<foreachitem="item"index="index"collection="proIdList"open="("separator=","close=")">
#{item}
</foreach>
</if>
<iftest="gradeList!=nullandgradeList.size()>0">
AND tp.gradeIN
<foreachitem="item"index="index"collection="gradeList"open="("separator=","close=")">
#{item}
</foreach>
</if>
<if test="strLike!=null and strLike!=''">
and(
vc.course_type_nameLIKEconcat('%',#{strLike},'%')
OR
vc.examination_form_nameLIKEconcat('%',#{strLike},'%')
OR
vc.course_nameLIKEconcat('%',#{strLike},'%')
)
</if>
ORDER BY tp.create_time DESC
</select>
2、#{}和${}
1、#{}:占位符,可以防止sql注入,解析为一个JDBC预编译语句的参数标记符
如:mapper.xml的sql语句为
select * from user where name=#{name}
动态解析为:
select * from user where name = ?;
一个#{}被解析为一个参数占位符?
2、${}:sql拼接。${}是一个string替换,在动态sql解析阶段会进行变量替换
如:mapper.xml的sql语句为
select * from user where name = ${name};
当我们传的采参数为 Rose 时,sql解析为:
select * from user where name = "Rose";
预编译之前的 SQL 语句已经不包含变量了,完全已经是常量数据了。
总结:
1.#是把传入的数据当作字符串,如#{field}传入的是id,则sql语句生成是这样,order by "id", 根据id排序时会报错..
2.$传入的数据直接生成在sql里,如${field}传入的是id,则sql语句生成是这样,order by id, 根据id排序这种写法是正确的.
3.#方式能够很大程度防止sql注入.
4.$方式无法防止sql注入.
5.$方式一般用于传入数据库对象.例如传入表名.
6.一般能用#的就别用$.