MyBatis 中的 #{ } 和 ${ } 占位符：揭秘参数传递过程

MyBatis 是一个久负盛名的持久层框架，凭借其卓越的数据库访问能力和灵活的 SQL 映射配置，在业界广受青睐。在这款框架中，#{ } 和 ${ } 是备受欢迎的占位符，它们肩负着构建动态 SQL 语句的重任。本文将深入探讨这两个占位符在 MyBatis 中的作用，揭示参数传递过程的神秘面纱。

# 占位符：安全、可靠的参数传递

#{ } 占位符主要用于将 Java 对象安全地传递给 MyBatis 映射的 SQL 语句。它采用预编译语句的方式，将参数值直接绑定到 SQL 语句中，有效防止了 SQL 注入攻击。

语法与用法

// 使用 #{ } 占位符传递参数
String sql = "SELECT * FROM users WHERE name = #{name}";

在上述示例中，#{name} 占位符将被 Java 对象的 name 属性值替换。MyBatis 会自动处理类型转换，确保参数值与数据库列类型相匹配。

$ 占位符：字符串拼接的利器

与 #{ } 占位符不同，${ } 占位符主要用于字符串拼接，它将参数值直接嵌入到 SQL 语句中，不会进行类型转换。

语法与用法

// 使用 ${ } 占位符进行字符串拼接
String sql = "SELECT * FROM users WHERE name LIKE '%" + name + "%'";

在上述示例中，{name} 占位符会被 name 变量的值直接替换。需要注意的是，{ } 占位符不具备类型转换能力，因此需要确保参数值与 SQL 语句中的数据类型一致。

参数传递过程：一步步揭秘

MyBatis 中的参数传递过程可以概括为以下步骤：

1. 预编译 SQL 语句： MyBatis 会将映射的 SQL 语句预编译为 PreparedStatement 对象。
2. 设置参数值： 使用 #{ } 占位符传递的参数值会被安全地绑定到 PreparedStatement 对象中。
3. 执行 SQL 语句： MyBatis 执行预编译后的 SQL 语句，将参数值传递给数据库。
4. 返回结果： 数据库返回查询结果，MyBatis 将其映射为 Java 对象或集合。

实例探究：揭示占位符的实际应用

为了加深对这两个占位符的理解，让我们通过一个实例来探索它们在实际应用中的区别：

// 查询所有包含指定字符串的用户名
String name = "John";
String sql1 = "SELECT * FROM users WHERE name LIKE '%" + name + "%'"; // 使用 ${ } 占位符
String sql2 = "SELECT * FROM users WHERE name LIKE #{name}"; // 使用 #{ } 占位符

在 sql1 中，${ } 占位符直接将 name 变量的值嵌入 SQL 语句中，需要我们手动拼接字符串，并且容易产生 SQL 注入漏洞。

在 sql2 中，#{ } 占位符将 name 变量的值安全地传递给 SQL 语句，MyBatis 会自动处理类型转换，并且防止 SQL 注入攻击。

总结

MyBatis 中的 #{ } 和 ${ } 占位符是构建动态 SQL 语句的利器，它们各有千秋：

• #{ } 占位符用于安全、可靠的参数传递，防止 SQL 注入攻击。
• ${ } 占位符用于字符串拼接，但需要谨慎使用，确保参数值与 SQL 语句中的数据类型一致。

通过深入理解这两个占位符及其参数传递过程，开发者可以编写出高效、安全且易维护的 MyBatis 映射文件，充分发挥其在持久层开发中的强大作用。