IBATIS中关于iterate和‘$’与‘#’的应用
一个包含List元素的HashMap参数赋给sqlMap
public int getCountById(String id, String title, List ids) throws Exception {
Map paramMap=new HashMap();
paramMap.put("id", id);
paramMap.put("title", title);
paramMap.put("ids",ids);
return (int) this.sqlMapClient.queryForObject("getCountById", paramMap);
}
上面的ids元素是一个List,里面包含了一个id列表。id和title都是String。
<select id="getOrderformByBiOid" parameterClass="java.util.HashMap" resultMap="Result">
select *
from MYTABLE
<dynamic prepend="where">
<isNotNull prepend="and" property="id">
ID=#id#
</isNotNull>
<isNotNull prepend="and" property="title">
TITLE like '%$title$%'
</isNotNull>
<isNotNull prepend="and" property="ids">
IDS in
<iterate property="ids" open="(" close=")" conjunction=",">
#ids[]#
</iterate>
</isNotNull>
</dynamic>
order by TIME DESC
</select>在上面的sqlMap中要注意的地方有两个。
第一个地方是,<iterate>标签中一定要记得写property="ids",不要因为在上面的 <isNotNull prepend="and" property="ids">标签中判断了该属性,就在<iterate>这个标签中忽略了property的书写(如果你忘了 写iterate中的property属性的话系统会报这样的错误Cause:com.ibatis.sqlmap.client.SqlMapException: ParameterObject or property was not a Collection, Array or Iterator.),并且要记住, #ids[]# 中的‘[]’符号,只有这样ibatis才把ids作为一个可迭代的对象(list,数组...),不然的话ibatis会把ids作为普通的string来处理。
第二个地方就是,上面的关于‘$‘与‘#’的应用。
下面就来说说关于‘$‘与‘#’的应用。在通常情况下ibatis的参数在sqlmap中使用#param#的形式,参数名以’#‘包着,但当使用 sql的like语句时就发生了问题,在单引号中无法使用#param#这种形式。解决办法有:
1.当应用select * from table1 where col like ’value%’时,如果要把‘value’以参数代替,可以把整个like后面的字符串
全改为参数。即:select * from table1 where col like #param# ,此时参数param的值为字符串"value%"
2.使用‘$’将参数名包起来。例如:name like ‘%#name#%’。我们的解决方法有2。(a)把name like ‘%#name#%’的#换成$,即:name like ‘%$name$%’。(b)用||连接字符串的方式,写成,name like ‘%’|| #name#‘%’。
3.当使用order by $column_name$,不要使用#column_name#。因为$不会转义,是什么就说什么,#会转成字符串'column_name'。
4.#{}是以预编译的形式,是安全的,它将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号,将参数设置到sql语句中,使用PreparedStatement防止sql注入。而${}是未经过预编译的,直接取出的值,直接拼装在sql语句中,存在sql注入的危险,会有安全问题;
5.使用${}的情况,order by、like语句只能用${} 了,用#{}会多个’ ’导致sql语句失效。此外动态拼接sql,模糊查询时也要用${}。
