1、多String传入,#{0} #{1}获取
2、多@param,参数名获取
3、list传入,Mybatis自动list读取,也可通过@param改名
4、map传入,#{key}获取
5、foreach遍历拼接实现多参数动态SQL,配合list与map传入
6、trim实现
${attribute}方式获取值,不能应用于预编译SQL【${ } 仅仅为一个纯碎的 string 替换,在动态 SQL 解析阶段将会进行变量替换】
#{0}方式获取值,不能应用于字段【#{}被解析为一个参数占位符?】
综上所得, ${ } 的变量的替换阶段是在动态 SQL 解析阶段,而 #{ }的变量的替换是在 DBMS 中。 |
#{}与${}的区别可以简单总结如下:
- #{}将传入的参数当成一个字符串,会给传入的参数加一个双引号
- ${}将传入的参数直接显示生成在sql中,不会添加引号
- #{}能够很大程度上防止sql注入,${}无法防止sql注入
${}在预编译之前已经被变量替换了,这会存在sql注入的风险。
- ${}一般用于传输数据库的表名、字段名等
- 能用#{}的地方尽量别用${}
进入正题,通过上面的分析,相信大家可能已经对如何动态调用表名和字段名有些思路了。示例如下:
<select id="getUser" resultType="java.util.Map" parameterType="java.lang.String" statementType="STATEMENT"> select ${columns} from ${tableName} where COMPANY_REMARK = ${company} </select>
要实现动态调用表名和字段名,就不能使用预编译了,需添加statementType="STATEMENT"" 。
statementType:STATEMENT(非预编译),PREPARED(预编译)或CALLABLE中的任意一个,这就告诉 MyBatis 分别使用Statement,PreparedStatement或者CallableStatement。默认:PREPARED。这里显然不能使用预编译,要改成非预编译。
其次,sql里的变量取值是${xxx},不是#{xxx}。
因为${}是将传入的参数直接显示生成sql,如${xxx}传入的参数为字符串数据,需在参数传入前加上引号,如:
String name = "sprite";
name = "'" + name + "'";
mybatis动态调用表名和字段名,还可以应用于日志的收集上,如数据库的日志表,每隔一个月动态建一个日志表,表名前缀相同(如log_201801,log_201802等),这样实现日志的分月分表存储,方便日志的分析。