1.mybatis中的insert、update等关键字,和实际写的sql没有必然联系,无需特殊匹配。实际是以写的sql为准。例子如下:
<update id="insertData" parameterType="string">
insert into tb_plat_kpi_value values('13',#{a},1,0)
</update>
自测验证通过的
2、@Param和不加这个注解的区别
void excute(@Param("aa") String sql);
那么sql要这么写
<insert>
insert into users values(1,#{aa});
</insert>
void excute(String sql);
那么sql要这么写
<insert>
insert into users values(1,#{sql});
</insert>
还有一种情况是,当传入的参数和实体类不一致是,可以使用这种。就是那个意思。
3.#{}和${}区别
#{}是含有占位符的,类似于Preparement的,可以防止sql注入
${}是不含注入,直接是传入字符串,进行sql拼装的,可能会发生sql注入。这个类似于Statement
在MyBatis的使用过程当中,使用参数进行sql拼装经常会使用到#{var}和${var}这两种参数的设置方式。
两种情况在sql拼装的过程中都会使用的到,下面是两种方式的不用之处:
#{var}:
使用预编译的方式将参数设置到sql语句当中(相当于占位符 ?)
使用的是原生jdbc中的prepareStatrment
能够在一定程度上防止sql注入的风险(无法避免%的问题)
${var}
不适用预编译模式
去除相应的值直接拼装到sql语句当中
会有sql注入的安全问题
由上面的一些不同,所以我们在平时的大多数情况下都应该去使用#{var}进行参数值的获取。
但是在一些原生jdbc不支持占位符的地方,我们就不能使用#{var}的形式去进行取值,这样会导致执行sql的时候报错
比如月表、年表,排序方式等特殊的情况,都需要我们使用${var}的形式直接取值进行字符串的拼接
select XXX from ${year}_${month}_XXX where id = XXX order by ${columnName} ${order}
1
一般情况下,能用#{var}的时候尽量使用#{var},不仅是因为它能够一定程度上保证安全,而且#{var}在使用方法上有更多的功能:
在使用#{var}的时候可以规定参数的一些规则:
javaType、jdbcType(也可以使用mybatis中的ejdbcTypeForNull属性来指定)、mode(存储过程)、numericSale(小数位)、resultMap、typeHandler、jdbcTypeName