上面的这个示例说明了一个非常简单的命名参数映射。鉴于参数类型(parameterType)会被自动设置为 ,这个参数可以随意命名。原始类型或简单数据类型(比如 IntegerString)因为没有其它属性,会用它们的值来作为参数。 然而,如果传入一个复杂的对象,行为就会有点不一样了。比如:

    1. <insert id="insertUser" parameterType="User">
    2. insert into users (id, username, password)
    3. values (#{id}, #{username}, #{password})
    4. </insert>

    如果 User 类型的参数对象传递到了语句中,会查找 id、username 和 password 属性,然后将它们的值传入预处理语句的参数中。

    对传递语句参数来说,这种方式真是干脆利落。不过参数映射的功能远不止于此。

    首先,和 MyBatis 的其它部分一样,参数也可以指定一个特殊的数据类型。

    1. #{property,javaType=int,jdbcType=NUMERIC}

    和 MyBatis 的其它部分一样,几乎总是可以根据参数对象的类型确定 javaType,除非该对象是一个 HashMap。这个时候,你需要显式指定 javaType 来确保正确的类型处理器(TypeHandler)被使用。

    要更进一步地自定义类型处理方式,可以指定一个特殊的类型处理器类(或别名),比如:

    1. #{age,javaType=int,jdbcType=NUMERIC,typeHandler=MyTypeHandler}

    参数的配置好像越来越繁琐了,但实际上,很少需要如此繁琐的配置。

    对于数值类型,还可以设置 numericScale 指定小数点后保留的位数。

    最后,mode 属性允许你指定 INOUTINOUT 参数。如果参数的 modeOUT 或 ,将会修改参数对象的属性值,以便作为输出参数返回。 如果 modeOUT(或 INOUT),而且 jdbcTypeCURSOR(也就是 Oracle 的 REFCURSOR),你必须指定一个 resultMap 引用来将结果集 ResultMap 映射到参数的类型上。要注意这里的 javaType 属性是可选的,如果留空并且 jdbcType 是 CURSOR,它会被自动地被设为 ResultMap

    1. #{department, mode=OUT, jdbcType=CURSOR, javaType=ResultSet, resultMap=departmentResultMap}

    MyBatis 也支持很多高级的数据类型,比如结构体(structs),但是当使用 out 参数时,你必须显式设置类型的名称。比如(再次提示,在实际中要像这样不能换行):

      1. #{firstName}
      2. #{middleInitial,jdbcType=VARCHAR}
      3. #{lastName}

      字符串替换

      默认情况下,使用 #{} 参数语法时,MyBatis 会创建 PreparedStatement 参数占位符,并通过占位符安全地设置参数(就像使用 ? 一样)。 这样做更安全,更迅速,通常也是首选做法,不过有时你就是想直接在 SQL 语句中直接插入一个不转义的字符串。 比如 ORDER BY 子句,这时候你可以:

      这样,MyBatis 就不会修改或转义该字符串了。

      当 SQL 语句中的元数据(如表名或列名)是动态生成的时候,字符串替换将会非常有用。 举个例子,如果你想 一个表任意一列的数据时,不需要这样写:

      1. @Select("select * from user where id = #{id}")
      2. User findById(@Param("id") long id);
      3. @Select("select * from user where name = #{name}")
      4. User findByName(@Param("name") String name);
      5. @Select("select * from user where email = #{email}")
      6. User findByEmail(@Param("email") String email);
      7. // 其它的 "findByXxx" 方法

      而是可以只写这样一个方法:

      1. @Select("select * from user where ${column} = #{value}")
      2. User findByColumn(@Param("column") String column, @Param("value") String value);

      其中 ${column} 会被直接替换,而 #{value} 会使用 ? 预处理。 这样,就能完成同样的任务:

      1. User userOfId1 = userMapper.findByColumn("id", 1L);
      2. User userOfNameKid = userMapper.findByColumn("name", "kid");

      提示 用这种方式接受用户的输入,并用作语句参数是不安全的,会导致潜在的 SQL 注入攻击。因此,要么不允许用户输入这些字段,要么自行转义并检验这些参数。