MyBatis 参数字符串替换

MyBatis 在默认情况下，使用 #{} 参数语法时，MyBatis 会创建 PreparedStatement 参数占位符，并通过占位符安全地设置参数（就像使用 ? 一样）。如下：

String sql = "select * from user where name = ?";
PreparedStatement preparedStatement = connection.prepareStatement(sql);
preparedStatement.setString(1, "ZhangSan");
ResultSet resultSet = preparedStatement.executeQuery();

这样做更安全，更迅速，通常也是首选做法，不过有时你就是想直接在 SQL 语句中直接插入一个不转义的字符串。比如 ORDER BY 子句，这时候你可以：

ORDER BY ${columnName}

这样，MyBatis 就不会修改或转义该字符串了。

当 SQL 语句中的元数据（如表名或列名）是动态生成的时候，字符串替换将会非常有用。举个例子，如果你想 select 一个表任意一列的数据时，不需要这样写：

@Select("select * from user where id = #{id}")
User findById(@Param("id") long id);

@Select("select * from user where name = #{name}")
User findByName(@Param("name") String name);

@Select("select * from user where email = #{email}")
User findByEmail(@Param("email") String email);

// 其它的 "findByXxx" 方法

而是可以只写这样一个方法：

@Select("select * from user where ${column} = #{value}")
User findByColumn(@Param("column") String column, @Param("value") String value);

其中 ${column} 会被直接替换，而 #{value} 会使用 ? 预处理。这样，就能完成同样的任务：

User userOfId1 = userMapper.findByColumn("id", 1L);
User userOfNameKid = userMapper.findByColumn("name", "kid");
User userOfEmail = userMapper.findByColumn("email", "noone@nowhere.com");

这种方式也同样适用于替换表名的情况。

注意：用这种方式接受用户的输入，并用作语句参数是不安全的，会导致潜在的 SQL 注入攻击。因此，要么不允许用户输入这些字段，要么自行转义并检验这些参数。

实例

（1）MyBatis 配置文件 mybatis-cfg.xml 内容如下：

<?xml version="1.0" encoding="UTF-8" ?>
<!DOCTYPE configuration PUBLIC "-//mybatis.org//DTD Config 3.0//EN"
  "https://mybatis.org/dtd/mybatis-3-config.dtd">
<configuration>
    <properties resource="database.properties"/>
    <environments default="MySqlDatabase" >
        <environment id="MySqlDatabase" >
            <transactionManager type="JDBC" />
            <dataSource type="POOLED">
                <property name="driver" value="${jdbc.driver}"/>
                <property name="url" value="${jdbc.url}"/>
                <property name="username" value="${jdbc.username}"/>
                <property name="password" value="${jdbc.password}"/>
            </dataSource>
        </environment>
    </environments>
    <mappers>
        <mapper resource="com/hxstrive/mybatis/parameter/demo1/UserMapper.xml" />
    </mappers>
</configuration>

（2）Mapper 接口文件定义，UserMapper.java 文件内容如下：

package com.hxstrive.mybatis.parameter.demo1;

import org.apache.ibatis.annotations.Param;
import java.util.List;

public interface UserMapper {

    /** 根据表中任何一列查询数据 */
    List<UserBean> getUsers(@Param("column") String column, @Param("value") String value);

}

（3）Mapper XML 文件定义，UserMapper.xml 文件内容如下：

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE mapper PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN"
   "https://mybatis.org/dtd/mybatis-3-mapper.dtd">
<mapper namespace="com.hxstrive.mybatis.parameter.demo1.UserMapper">

    <resultMap id="RESULT_MAP" type="com.hxstrive.mybatis.parameter.demo1.UserBean">
        <id column="user_id" jdbcType="INTEGER" property="userId" />
        <result column="name" jdbcType="VARCHAR" property="name" />
        <result column="sex" jdbcType="VARCHAR" property="sex" />
        <result column="age" jdbcType="INTEGER" property="age" />
    </resultMap>

    <select id="getUsers" resultMap="RESULT_MAP">
        select `user_id`, `name`, `sex`, `age`
        from `user`
        where ${column}=#{value}
    </select>

</mapper>

（4）实体 JavaBean UserBean 定义如下：

package com.hxstrive.mybatis.parameter.demo1;

public class UserBean {
   private Integer userId;
   private String name;
   private String sex;
   private Integer age;

   // 忽略 getter 和 setter

   @Override
   public String toString() {
      return "UserBean{" +
            "userId=" + userId +
            ", name='" + name + '\'' +
            ", sex='" + sex + '\'' +
            ", age=" + age +
            '}';
   }
}

（5）客户端，代码如下：

package com.hxstrive.mybatis.parameter.demo1;

import org.apache.ibatis.io.Resources;
import org.apache.ibatis.session.SqlSession;
import org.apache.ibatis.session.SqlSessionFactory;
import org.apache.ibatis.session.SqlSessionFactoryBuilder;

import java.io.InputStream;
import java.util.List;

public class ParameterDemo1 {

    public static void main(String[] args) throws Exception {
        String cfgName = "com/hxstrive/mybatis/parameter/demo1/mybatis-cfg.xml";
        InputStream input = Resources.getResourceAsStream(cfgName);
        SqlSessionFactoryBuilder factoryBuilder = new SqlSessionFactoryBuilder();
        SqlSessionFactory sqlFactory = factoryBuilder.build(input);
        SqlSession sqlSession = sqlFactory.openSession(true);
        UserMapper userMapper = sqlSession.getMapper(UserMapper.class);

        // 查找 age 为 28 的用户
        List<UserBean> userBeanList = userMapper.getUsers("age", "28");
        for(UserBean userBean : userBeanList) {
            System.out.println(userBean);
        }
    }

}

运行结果：

UserBean{userId=1, name='ZhangSan', sex='男', age=28}
UserBean{userId=3, name='赵六', sex='男', age=28}

上一章：MyBatis 参数基础下一章：MyBatis parameterMap

说说我的看法

* 必填

全部评论（0）

没有评论

更多教程

关于

本网站专注于 Java、数据库（MySQL、Oracle）、Linux、软件架构及大数据等多领域技术知识分享。涵盖丰富的原创与精选技术文章，助力技术传播与交流。无论是技术新手渴望入门，还是资深开发者寻求进阶，这里都能为您提供深度见解与实用经验，让复杂编码变得轻松易懂，携手共赴技术提升新高度。如有侵权，请来信告知：hxstrive@outlook.com

链接

其他应用

开源镜像网站

公众号