Mybatis
    Mybatis作为一个轻量级的ORM框架,应用广泛,其上手使用也比较简单;一个成熟的框架,必然有精巧的设计,值得学习。
    在使用Mybatis框架时,在sql语句中获取传入的参数有如下两种方式:

    • ${paramName}
    • #{paramName}

    那如何理解这两种传参方式呢?
    先来回顾下原生Jdbc查询:

    1. public static void main(String[] args) throws Exception {
    2. // sql语句
    3. String sql = "select id,name from customer limit 2";
    4. // 1.加载驱动, 此处使用的mysql驱动包是8.0版本, 若为5.0+版本, 请修改以下类路径
    5. Class.forName("com.mysql.cj.jdbc.Driver");
    6. // 2.获取数据库连接
    7. String url = "jdbc:mysql://localhost:3306/work?useSSL=false&useUnicode=true" +
    8. "&characterEncoding=UTF-8&useJDBCCompliantTimezoneShift=true" +
    9. "&useLegacyDatetimeCode=false&serverTimezone=UTC";
    10. Connection conn = DriverManager.getConnection(url,"root", "123456");
    11. // 3、获得可以执行sql语句的对象
    12. Statement st = conn.createStatement();
    13. // 4、使用对象去执行SQL语句
    14. ResultSet rs = st.executeQuery(sql);
    15. // 5、处理sql语句返回的结果集
    16. while(rs.next()){
    17. // 获得一行数据
    18. Integer id = rs.getInt("id");
    19. String name = rs.getString("name");
    20. System.out.println("sql查询: id = " + id + " , name = " + name);
    21. }
    22. // 6、释放资源
    23. rs.close();
    24. st.close();
    25. conn.close();
    26. }

    控制台打印:

    1. sql查询: id = 1 , name = 李白
    2. sql查询: id = 2 , name = 杜甫

    了解Jdbc的人会知道,其中第3、4步两条语句也可以换成如下两条:

    1. // 3.创建 PreparedStatement 对象去执行sql
    2. PreparedStatement preparedStatement = conn.prepareStatement(sql);
    3. // 4.执行sql语句
    4. ResultSet rs = preparedStatement.executeQuery();

    来比较下区别:

    • 创建 PreparedStatement 对象时就把sql语句传入,在执行语句时就不用传入sql了;而 Statement 则刚好相反

    这就引出了预编译的概念:

    • 如果使用PreparedStatement对象,那么在执行第3步时,既然已经传入了sql,则相当于这条sql会被数据库编译(数据库对sql语句的编译也是相当复杂的),所以在第4步执行的时候就不用再传入sql了,因为数据库已经知道要执行的sql了,只需要传入参数即可;
    • 如果使用Statement对象,那容易理解,数据库就没有提前去解析sql,因为创建对象时都没有传入;当执行sql时,数据库再编译与执行。

    看到这里,可能也仅仅只记住了一个预先编译sql了,一个没有预先编译,并没有了解到对于实际开发中的区别,以下将会举例说明。
    那是否PreparedStatement对象这种方式就一定比Statement对象方式好?
    没有那么绝对的事,大家要理解:
    PreparedStatement对象的好处是,sql已经提前编译好,剩下的工作就是传入参数即可,编译好的sql可以复用,传入不同的参数,则数据库就将相应的参数填入编译好的sql。而Statement对象就是每次都要传入sql,丢给数据库去编译再执行;但是创建PreparedStatement对象的开销是比Statement对象大的。
    回归到日常开发中,以上的区别压根也不用在意,事实上,百分之九十的场景使用的是PreparedStatement对象的方式,可能平时没有感知到,因为这是框架已经封装了。再者,当系统出现性能问题时,也绝对不会是因为这两个对象的原因。
    以上简单回顾了下Jdbc中PreparedStatementStatement对象;
    可以预料,Mybatis中${}#{} 这两种取值方式就是相当于对应着PreparedStatementStatement对象的区别了。

    • #{} 传参,代表sql已经预编译好了,传入的参数真的就仅仅是参数!
    • ${} 传参,随便传,传完了之后再统一编译

    那具体在使用中有什么不同呢?理解如下两种场景:

    1. 看如下service和sql语句

      1. @Override
      2. public List<Map<String, Object>> listUser() {
      3. String param = " and name = '李白'";
      4. return indexMapper.listUser(param);
      5. }
      1. <select id="listUser" resultType="map">
      2. select * from customer
      3. where 1 = 1 #{param}
      4. </select>

      以上代码能正常查询吗?

      1. ### Error querying database. Cause: java.sql.SQLSyntaxErrorException: You have
      2. an error in your SQL syntax; check the manual that corresponds to your MySQL
      3. server version for the right syntax to use near '' and name = \'李白\''

      不能!会报sql语句规则错误,之前说了,#{} 取值代表sql已经编译好了,传入的仅仅是参数
      对应上面示例:
      sql是指:select * from customer where 1 = 1
      参数是指:and name = '李白'
      此时sql可以正确运行,但是带上传入的参数就不行了,要理解传入的真的仅仅是参数,不要和前面的sql混了。
      但是这明显不对,因为想表达的其实是这样:
      sql是指:

      1. select * from customer where 1 = 1 and name = ?

      参数是指:’李白’
      此时把参数替换进占位符是可以正常运行整个语句的。
      所以此时应该用 {}就没有提前编译好哪些是属于sql。
      此示例表明:当传入的参数不仅仅是参数,其实是一小段sql,想和原sql拼接在一起时,那就得用${}传参,相当于拼接好了之后丢给
      数据库去解析整个语句;
      sql中的问号代表参数占位符,这也是PreparedStatement对象特点之一,会将传入的参数一一替换进占位符
      反之如下:

      1. @Override
      2. public List<Map<String, Object>> listUser() {
      3. String param = "李白";
      4. return indexMapper.listUser(param);
      5. }
      1. <select id="listUser" resultType="map">
      2. select * from customer
      3. where 1 = 1 and name = #{param}
      4. </select>

      这种情况使用 #{} 就是对的了,因为传入的参数仅仅就是参数,替换进sql语句中即可。

    2. 对参数类型的影响

      1. @Override
      2. public List<Map<String, Object>> listUser() {
      3. String param = "李白";
      4. return indexMapper.listUser(param);
      5. }
      1. <select id="listUser" resultType="map">
      2. select * from customer
      3. where 1 = 1 and name = ${param}
      4. </select>

      以上代码能执行成功吗?
      按理说,传入的仅仅是参数,不管是否预编译都应该能执行,但是实际还是会报错。
      这是执行时打印出的sql语句:

      1. select * from customer where 1 = 1 and name = 李白

      显然,问题就在于参数没有加单引号,name字段是字符串类型,传入的也是字符串,偏偏Mybatis转换之后没有加单引号。
      所以当传入字符串类型参数时,应该用 #{} 取值,此时会自动加上单引号。
      再看下面这种语句:

      1. @Override
      2. public List<Map<String, Object>> listUser() {
      3. String param = "name";
      4. return indexMapper.listUser(param);
      5. }
      1. <select id="listUser" resultType="map">
      2. select * from customer
      3. where 1 = 1
      4. order by ${param} desc
      5. </select>

      此时传入的参数是要排序的字段名称,之前说了,如果采用#{} 取值,则实际是会自动加上单引号的,但是order by后面的排序字段需要单引号吗?
      不需要,所以这种情况只能使用 ${} 取值。
      可能会发现此处用 #{} 取值也不会报错,那是因为MySQL支持这种写法,但是查询的结果并不对。
      日常开发中,只要能理解上述两种情形,那么就能正确使用 ${}#{},由于这两种方式取值原理的区别,也容易明白 #{} 这种方式是可以防止sql注入的。