mybatis关于传参数和一些关键字的心得

1.mybatis中的insert、update等关键字&＃xff0c;和实际写的sql没有必然联系&＃xff0c;无需特殊匹配。实际是以写的sql为准。例子如下&＃xff1a; 

        insert into tb_plat_kpi_value values(&＃39;13&＃39;,#{a},1,0)
   

自测验证通过的

2、&＃64;Param和不加这个注解的区别

void excute(&＃64;Param("aa") String sql);

那么sql要这么写

    insert into users values(1,#{aa});

void excute(String sql);

那么sql要这么写

    insert into users values(1,#{sql});

还有一种情况是&＃xff0c;当传入的参数和实体类不一致是&＃xff0c;可以使用这种。就是那个意思。

3.#{}和${}区别

#{}是含有占位符的&＃xff0c;类似于Preparement的&＃xff0c;可以防止sql注入

${}是不含注入&＃xff0c;直接是传入字符串&＃xff0c;进行sql拼装的&＃xff0c;可能会发生sql注入。这个类似于Statement

在MyBatis的使用过程当中&＃xff0c;使用参数进行sql拼装经常会使用到#{var}和${var}这两种参数的设置方式。 
两种情况在sql拼装的过程中都会使用的到&＃xff0c;下面是两种方式的不用之处&＃xff1a;

#{var}&＃xff1a;

使用预编译的方式将参数设置到sql语句当中&＃xff08;相当于占位符 &＃xff1f;&＃xff09;
使用的是原生jdbc中的prepareStatrment
能够在一定程度上防止sql注入的风险&＃xff08;无法避免%的问题&＃xff09;
${var}

不适用预编译模式
去除相应的值直接拼装到sql语句当中
会有sql注入的安全问题
由上面的一些不同&＃xff0c;所以我们在平时的大多数情况下都应该去使用#{var}进行参数值的获取。 
但是在一些原生jdbc不支持占位符的地方&＃xff0c;我们就不能使用#{var}的形式去进行取值&＃xff0c;这样会导致执行sql的时候报错

比如月表、年表&＃xff0c;排序方式等特殊的情况&＃xff0c;都需要我们使用${var}的形式直接取值进行字符串的拼接

select XXX from ${year}_${month}_XXX where id &＃61; XXX order by ${columnName} ${order}
1
一般情况下&＃xff0c;能用#{var}的时候尽量使用#{var}&＃xff0c;不仅是因为它能够一定程度上保证安全&＃xff0c;而且#{var}在使用方法上有更多的功能&＃xff1a;

在使用#{var}的时候可以规定参数的一些规则&＃xff1a; 
javaType、jdbcType&＃xff08;也可以使用mybatis中的ejdbcTypeForNull属性来指定&＃xff09;、mode&＃xff08;存储过程&＃xff09;、numericSale&＃xff08;小数位&＃xff09;、resultMap、typeHandler、jdbcTypeName