Mybatis # 和 $ 的区别及参数如何对应

本文深入探讨MyBatis中参数解析机制,包括ParamNameResolver如何处理@Param注解,解析方法参数,以及单参数和多参数场景下#和$符号的区别。解析MyBatis对不同类型的参数处理方式,如单参数、多参数和@Param注解参数的处理流程。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

调试 ParamNameResolver.

final Annotation[][] paramAnnotations = method.getParameterAnnotations();

二维数组,第一维是参数长度,第二维是注解个数.

1.看参数上是否有 @Param 注解,有就读取该注解中的值.
2.如果第1步不成立,则看能否获取实际参数名.
3.如果还不行,则是第几个参数(排除特殊参数,例如 RowBound 等).
// 解析方法参数.
public ParamNameResolver(Configuration config, Method method) {
// 获取方法的所有类型
final Class<?>[] paramTypes = method.getParameterTypes();
// 获取参数中的注解.
final Annotation[][] paramAnnotations = method.getParameterAnnotations();
final SortedMap<Integer, String> map = new TreeMap<>();
int paramCount = paramAnnotations.length;
// get names from @Param annotations
for (int paramIndex = 0; paramIndex < paramCount; paramIndex++) {
// 忽略掉 RowBounds 和 ResultHandler 这两类参数.
if (isSpecialParameter(paramTypes[paramIndex])) {
// skip special parameters
continue;
}
String name = null;
// 解析 @Param 注解.
for (Annotation annotation : paramAnnotations[paramIndex]) {
if (annotation instanceof Param) {
hasParamAnnotation = true;
name = ((Param) annotation).value();
break;
}
}
if (name == null) {
// @Param was not specified.
if (config.isUseActualParamName()) {
name = getActualParamName(method, paramIndex);
}
if (name == null) {
// use the parameter index as the name (“0”, “1”, …)
// gcode issue #71
name = String.valueOf(map.size());
}
}
map.put(paramIndex, name);
}
names = Collections.unmodifiableSortedMap(map);
}

如果参数中没有 @Param 注解,且只有一个参数,则返回 arg[0] 即可.
如果有多个参数或有 @Param 注解,则:
<param0, V> <param1, V> 等 +

好需要注意一点,我们知道,Mybatis 对于单参数的处理,是直接返回的 args[0]. 这样的话,args[0] 可以是任意类型,例如 Collection 或者 Array.
Mybatis 对单参数的情况进行了包装. 会将参数封装成 map.
map.put(“collection, arg[0]) or map.put(“list”, arg[0])
map.put(“array”, arg[0])

接下来看下 # 和 $ 的区别.

单参数. 压根就不需要管 #{id} 还是 #{name}(和参数名无关),它会使用占位符,统一替换成 ?,最后通过 PreparedStatement 设置参数即可.

因为它是通过下标设置的.

$ 单参数,必须通过 ${value} 获取参数.
为啥是通过 ${value} 来获取了?可以看下 TextSqlNode 类.
public String handleToken(String content) {
Object parameter = context.getBindings().get("_parameter");
if (parameter == null) {
context.getBindings().put(“value”, null);
} else if (SimpleTypeRegistry.isSimpleType(parameter.getClass())) {
context.getBindings().put(“value”, parameter);
}
Object value = OgnlCache.getValue(content, context.getBindings());
String srtValue = (value == null ? “” : String.valueOf(value)); // issue #274 return “” instead of “null”
checkInjection(srtValue);
return srtValue;
}

或者通过 @Param 注解的话,则使用 ${id} 可以获取. 还是同一段代码,但是这时候 _parameter 就是一个 map 了,所以可以获得值.
public String handleToken(String content) {
Object parameter = context.getBindings().get("_parameter");
if (parameter == null) {
context.getBindings().put(“value”, null);
} else if (SimpleTypeRegistry.isSimpleType(parameter.getClass())) {
context.getBindings().put(“value”, parameter);
}
Object value = OgnlCache.getValue(content, context.getBindings());
String srtValue = (value == null ? “” : String.valueOf(value)); // issue #274 return “” instead of “null”
checkInjection(srtValue);
return srtValue;
}

多参数时,# 或 $ 都是通过 ${param1} ${param2} 或 #{param1} #{param2} 来获取的.

### MyBatis 中 `#` `$` 符号的区别 #### 占位符功能差异 在 MyBatis 中,`#{}` `${}` 都可以作为占位符来插入参数到 SQL 语句中。然而两者的工作机制存在显著不同。 当使用 `#{}` 形式的占位符时,MyBatis 将其视为预处理语句 (PreparedStatement) 的参数绑定方式[^1]。这意味着实际的 SQL 发送到数据库之前会先由 JDBC 进行一次转义处理,从而有效防止 SQL 注入攻击的发生。 而采用 `${}` 方式,则是直接替换模板中的变量名为其对应的值字符串,并不做任何额外的安全检查或转换操作[^2]。因此,在某些特殊情况下可能会引入潜在风险。 #### 使用场景对比 由于上述特性上的差别,这两种语法适用于不同的编程环境: - 对于大多数常规查询条件构建而言,推荐优先选用 `#{}` 结构以增强应用程序的整体安全性; - 当遇到一些无法通过标准 API 实现的需求——比如表名、列名动态指定等情况时,则可能不得不借助 `${}` 完成相应逻辑编码工作;不过此时应当格外谨慎对待输入验证环节[^3]。 #### 示例代码展示 下面给出一段简单的例子说明如何分别运用这两种表达形式编写 Mapper XML 文件内的 SELECT 语句: ```xml <!-- 正确做法 --> <select id="findUserById" parameterType="int" resultType="com.example.User"> SELECT * FROM users WHERE user_id = #{userId} </select> <!-- 错误示范:容易遭受注入威胁 --> <select id="findByTableName" parameterType="string" resultType="map"> SELECT * FROM ${tableName} <!-- 不建议这样写 --> </select> ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值