mybatis参数输入 #{}和${}

1、建库建表

CREATE DATABASE `mybatis-example`;
 
USE `mybatis-example`;
 
CREATE TABLE `t_emp`(
  emp_id INT AUTO_INCREMENT,
  emp_name CHAR(100),
  emp_salary DOUBLE(10,5),
  PRIMARY KEY(emp_id)
);
 
INSERT INTO `t_emp`(emp_name,emp_salary) VALUES("tom",200.33);
INSERT INTO `t_emp`(emp_name,emp_salary) VALUES("jerry",666.66);
INSERT INTO `t_emp`(emp_name,emp_salary) VALUES("andy",777.77);

2、pom.xml

    
        
            org.mybatis
            mybatis
        
 
        
        
            mysql
            mysql-connector-java
        
 
        
        
            org.junit.jupiter
            junit-jupiter-api
        
 
        
            org.projectlombok
            lombok
        
    

3、Employee.java（pojo）

package com.atguigu.mybatis.pojo;
import lombok.AllArgsConstructor;
import lombok.Data;
import lombok.NoArgsConstructor;
@Data
@NoArgsConstructor
@AllArgsConstructor
public class Employee {
    private Integer empId;
    private String empName;
    private Double empSalary;
}

4、EmpMapper.java

package com.atguigu.mybatis.mapper;
import com.atguigu.mybatis.pojo.Employee;
import java.util.List;
public interface EmpMapper {

    List getEmployeeList();

    Employee getEmployeeById(Integer empId);
    Employee getEmployeeById2(Integer empId);

    List getEmployeeListByName(String name);
    List getEmployeeListByName2(String name);
    List getEmployeeListByName3(String name);

    List getEmployeeList2(String tableName);

}

5、mybatis-config.xml（mybatis的总配置文件）

6、EmpMapper.xml

    
    
        
        select
        emp_id empId,
        emp_name empName,
        emp_salary empSalary
        from t_emp
    

    
        select
        emp_id empId,
        emp_name empName,
        emp_salary empSalary
        from t_emp
        where emp_id = #{value}
    

    
    
        select
        emp_id empId,
        emp_name empName,
        emp_salary empSalary
        from t_emp
        where emp_id = ${value}
    

    
        select
        emp_id empId,
        emp_name empName,
        emp_salary empSalary
        from t_emp
        where emp_name like #{value}
    

    
        select
        emp_id empId,
        emp_name empName,
        emp_salary empSalary
        from t_emp
        where emp_name like ${value}
    

    
        select
        emp_id empId,
        emp_name empName,
        emp_salary empSalary
        from t_emp
        where emp_name like '${value}'
    

    
        select
        emp_id empId,
        emp_name empName,
        emp_salary empSalary
        from ${table_name}
    

7、MybatisTest.java

package com.atguigu.mybatis;
import com.atguigu.mybatis.mapper.EmpMapper;
import org.apache.ibatis.io.Resources;
import org.apache.ibatis.session.SqlSession;
import org.apache.ibatis.session.SqlSessionFactory;
import org.apache.ibatis.session.SqlSessionFactoryBuilder;
import org.junit.jupiter.api.AfterEach;
import org.junit.jupiter.api.BeforeEach;
import org.junit.jupiter.api.Test;
import java.io.IOException;
import java.io.InputStream;
public class MybatisTest {

    SqlSessionFactory sqlSessionFactory;
    SqlSession sqlSession;
    EmpMapper empMapper;

    @BeforeEach
    public void setup() throws IOException {
        // 获取资源流，读取"mybatis-config.xml"文件
        InputStream inputStream = Resources.getResourceAsStream("mybatis-config.xml");
        // 使用资源流创建SqlSessionFactory
        sqlSessionFactory = new SqlSessionFactoryBuilder().build(inputStream);
        // 使用SqlSessionFactory打开一个Session
        sqlSession = sqlSessionFactory.openSession();
        // 使用Session获取EmpMapper的Mapper对象
        empMapper = sqlSession.getMapper(EmpMapper.class);
    }

    // 在每个测试用例之后执行的清理方法
    @AfterEach
    public void teardown() {
        sqlSession.close();  // 关闭SqlSession
    }
    
    @Test
    public void getEmployeeListTest() {
        empMapper.getEmployeeList().forEach(System.out::println);
    }
    //Employee(empId=1, empName=tom, empSalary=200.33)
    //Employee(empId=2, empName=jerry, empSalary=666.66)
    //Employee(empId=3, empName=andy, empSalary=777.77)

    @Test
    public void getEmployeeByIdTest() throws IOException {
        System.out.println(empMapper.getEmployeeById(1));
        //select emp_id empId, emp_name empName, emp_salary empSalary from t_emp where emp_id = ?
    }

    @Test
    public void getEmployeeByIdTest2() throws IOException {
        System.out.println(empMapper.getEmployeeById2(1));
        //select emp_id empId, emp_name empName, emp_salary empSalary from t_emp where emp_id = 1
    }

    @Test
    public void getEmployeeListByNameTest() throws IOException {
        System.out.println(empMapper.getEmployeeListByName("lina"));
        //select emp_id empId, emp_name empName, emp_salary empSalary from t_emp where emp_name like ?
    }

    @Test
    public void getEmployeeListByNameTest2() throws IOException {
        System.out.println(empMapper.getEmployeeListByName2("lina"));
        //select emp_id empId, emp_name empName, emp_salary empSalary from t_emp where emp_name like lina
    }

    @Test
    public void getEmployeeListByNameTest3() throws IOException {
        System.out.println(empMapper.getEmployeeListByName3("lina"));
        //select emp_id empId, emp_name empName, emp_salary empSalary from t_emp where emp_name like 'lina'
    }

    @Test
    public void getEmployeeListByNameTest4() throws IOException {
        System.out.println(empMapper.getEmployeeListByName3("lina 'or 1=1 or emp_name like ' "));
        //select emp_id empId, emp_name empName, emp_salary empSalary from t_emp where emp_name like 'lina 'or 1=1 or emp_name like ' '
    }

    @Test
    public void getEmployeeList2Test() throws IOException {
        System.out.println(empMapper.getEmployeeList2("t_emp"));
        //Preparing: select emp_id empId, emp_name empName, emp_salary empSalary from t_emp
    }
}

 

 8、总结

• #{}   相当于  之前的占位符  ”？“         PreparedStatement:执行预处理SQL命令
• ${}   是拼接                                          Statement：执行SQL命令，注入式漏洞       " lina '  or 1=1  or  emp_name like ' " 
• https://blog.csdn.net/m0_65152767/article/details/134057420

9、${} 的使用场景

在MyBatis中，${}形式传参的主要使用场景是当参数值是已知且不会改变的时候。这通常用于静态值，例如 数据库表名、列名 等。

例如，假设你有一个用户表，表名为user_${id}，其中id是一个动态参数。在MyBatis的SQL语句中，你可以使用${}来引用这个表名。当你执行这个SQL语句时，MyBatis会将${}替换为实际的参数值。

  
  SELECT * FROM user_${id} WHERE id = #{id}  

在这个例子中，user_${id}会被替换为实际的表名，例如user_1、user_2等。

然而，需要注意的是，由于${}形式的参数会被直接替换到SQL语句中，因此它可能会引起SQL注入的问题。因此，当你使用这种形式的参数时，必须确保参数值是安全的，特别是当参数值来自于用户输入或其他不可信的源时。在这种情况下，应该使用其他形式的参数替换或者进行适当的输入验证和清理。在这个例子中，${tableName}会被替换为实际的表名，这个表名是根据程序运行时的某个参数动态决定的。

在MyBatis中，${}形式传参的主要使用场景包括：

1. 直接传递数据库字段名或者表名：在SQL语句中，你可能需要引用数据库的字段名或者表名。如果这些名称是动态的，或者是根据其他参数来变化的，那么就可以使用${}来进行传递。

例如：

SELECT * FROM ${tableName} WHERE id = #{id}

在这个例子中，${tableName}会被替换为实际的表名，这个表名是根据程序运行时的某个参数动态决定的。

1. 动态SQL语句：在构建SQL语句时，可能需要根据一些条件来动态的生成SQL语句。在这些情况下，可以使用${}来插入动态的SQL片段。

例如：

  
    AND ${searchParam}  

在这个例子中，${searchParam}会被替换为实际的搜索参数，这个参数的值是在运行时决定的。

然而需要注意的是，使用${}进行传参时需要特别小心，因为它可能会导致SQL注入的问题。你必须确保所有的参数都是安全的，不能由外部用户直接控制。如果可能的话，最好使用#{}来进行传参，因为MyBatis会对#{}内的参数进行预编译和转义，从而防止SQL注入。