Mapper映射文件传参(数组/集合)与#{}和${} 区别

一、Mapper映射文件传参的个数

MyBatis中使用 OGNL表达式与操作符

String与基本数据类型　　　　_parameter
自定义类型（对象）　　　　　属性名；若使用了@Param("user")，则使用user.属性名
集合
　　数组　　　　　　　　　　array
　　List　　　　　　　　　　list
　　Map　　　　　　　　　　_parameter
获取集合中的一条数据
　　数组　　　　　　　　　　array[索引]　　　　　　基本数据类型数组
　　　　　　　　　　　　　　array[索引].属性名　　  对象数据类型数组　　　　
　　List　　　　　　　　　　list[索引]
　　　　　　　　　　　　　　list[索引].属性名
　　Map　　　　　　　　　　_parameter.key
　　　　　　　　　　　　　　_parameter.key.属性名

1、获取单个参数写法

      Mybatis对于只有一个参数的情况下，不会做任何处理，我们对传递过来一个id值作为参数，xml文件中就用#{id}来接收，因为只有一个参数实质上#{}里可以是任何字符串都可以，当然为了对应我们建议就用id（可读性强）。

2、获取多个参数的写法

    多个参数的情况下，Mybatis底层会将参数封装为一个Map对象，#{} 其实内部是从这个Map对象中根据键获取数值，

   接口实现类：

	/**
	 *  根据id和state查询
	 * @param id
	 * @param state
	 * @return List
	 */
	public List selectUser(Integer id, Integer state);

  1）参数1对应 param1，参数2对应 param2 ...  以此类推

	
		select * from t_user where id >= #{param1} and state = #{param2} 
	

  2）参数1对应索引 arg0，参数2对应索引 arg1  ...  以此类推

	
		select * from t_user where id >= #{arg0} and state = #{arg1} 
	

  3）在接口方法的参数上使用 @param(value) 注解，就可改变封装的map对象的key值，就可以实现接口方法里的参数名和xml文件内接收参数名对应一致，可读性强（推荐使用）

public List selectUser(@Param("id")Integer id, @Param("state")Integer state);

	
		select * from t_user where id >= #{id} and state = #{state} 
	

测试都ok

	List userlist = userMapper.selectUser(3, 1);
	System.out.println(Arrays.asList(userlist));
----
[[User [id=3, username=li33, pazzword=li33qq, state=1, regDate=Tue Nov 13 09:38:55 CST 2018], User [id=14, username=李四, pazzword=123456, state=1, regDate=Tue Nov 13 09:38:55 CST 2018], User [id=17, username=李四, pazzword=123456, state=1, regDate=Tue Nov 13 16:06:33 CST 2018], User [id=18, username=李四, pazzword=123456, state=1, regDate=Tue Nov 13 16:06:58 CST 2018]]]

 4）Mybatis底层会把参数封装成Map对象，我们也可直接传入一个 Map对象，xml文件里获取参数值就用 #{key值}：

	public List selectUser(Map map);

	
		select * from t_user where id >= #{id} and state = #{state} 
	

			Map map = new HashMap<>();
			map.put("id", 3);
			map.put("state", 1);
			List userlist = userMapper.selectUser(map);
			System.out.println(Arrays.asList(userlist));

 

二、Mapper映射文件传参的数据类型是集合或数组

       在Mybatis中还有一些特殊处理的参数类型要特别注意：如果参数类型是集合Collection（List，Set）或者是数组，Mybatis也会把这些类型的参数封装在一个Map对象中传递到xml文件

1、集合类型（List，Set）的变量，xml取值的时Map的key是 collection[index]，List集合时也可使用 list[index] ，

	public List selectUser(List paramlist);

	
		select * from t_user where id >= #{collection[0]} and state = #{collection[1]} 
	

			List paramlist = new ArrayList<>();
			paramlist.add("3");
			paramlist.add("1");
			List userlist = userMapper.selectUser(paramlist);
			System.out.println(Arrays.asList(userlist));

2、数组类型Map的key是 array[index]

	public List selectUser(String[] strArr);

	
		select * from t_user where id >= #{array[0]} and state = #{array[1]} 
	

			String[] strArr = {"3","1"};
			List userlist = userMapper.selectUser(strArr);
			System.out.println(Arrays.asList(userlist));

 

三、 #{} 和 ${} 的区别   

       MyBatis中 #{ }和${ }都可以用来动态传递参数

不同点：

      #{} 对应底层使用 jdbc的PreparedStatementd 对象来执行sql语句，在SQL中相当于一个参数占位符“?”，用来补全预编译语句。它补全预编译语句时，可以理解为在此参数值两端统统使用单引号引起来。 #{} 里除了可以写接收参数的名称外，还可以设置javaType，jdbcType，mode等。

     ${}  对应底层使用 jdbc的Statement 对象来执行sql语句，就是单纯的字符串拼接，拼接完成后才会对SQL进行编译、执行，所以性能较低，也无法复用。但是在有些 #{ }无法胜任的地方，还是会需要${ }来完成。

结论：

     #{}  很大程度防止sql注入，提高系统安全，一般能用#的地方就别用$。

     ${}  无法防止Sql注入，如果写的SQL语句的参数内容应该作为SQL的一部分，此时必须使用$，比如：表名称，order by 排序字段，分组 group by 等。

    List listUser(@Param("id") Long id, @Param("orderby") String orderby);

	
		select * from t_user where id >= #{id} order by ${orderby}
	

        UserMapper userMapper = session.getMapper(UserMapper.class);
        List list = userMapper.listUser(1L, "id desc");

 

ends ~