mybatis 拼接变量和字符串

Mybatis是一种使用XML或注解将SQL语句与Java对象映射起来的框架，它的优点是可以简化我们的数据库操作，且可以灵活地进行SQL语句的拼接。

在Mybatis中，拼接变量和字符串可以使用${}和#{}两种方式。

使用${}时，Mybatis会将变量替换为对应的值，并将结果插入到SQL语句中，这种方式存在SQL注入的风险，不建议使用。

使用#{}时，Mybatis会将变量封装为一个占位符，并根据变量的类型自动进行类型转换，避免了SQL注入的风险。

示例如下：

<select id="selectUserById" resultType="User">
SELECT * FROM users WHERE id = #{id}
</select>

在以上示例中，#{id}就是一个占位符，Mybatis会将传递过来的id参数封装成一个PreparedStatement对象，并自动进行类型转换，执行SQL语句时将占位符替换为对应的值。这样既避免了SQL注入的风险，又保证了程序执行的效率。

总之，在使用Mybatis进行SQL语句的拼接时，建议使用#{}方式，这样可以避免SQL注入和类型转换的问题。

相关问题

mybatis 拼接字符串

Mybatis 中可以通过 `<script>` 标签来拼接字符串，示例如下：

<select id="selectUsersByNameAndEmail" resultType="User">
  SELECT * FROM users
  WHERE 1=1
  <if test="name != null and name != ''">
    AND name like concat('%',#{name},'%')
  </if>
  <if test="email != null and email != ''">
    AND email like concat('%',#{email},'%')
  </if>
</select>

在上面的例子中，使用了 `<if>` 标签来判断条件是否成立，成立则拼接字符串。需要注意的是，在字符串拼接中，需要使用 `concat()` 函数来进行字符串的连接。同时，为了避免 SQL 注入攻击，应该使用参数占位符 `#{}` 来代替字符串拼接中的变量。

mybatis 中 如何对字符串变量截取最后2位, 然后拼接到表名的后面

你可以使用 MyBatis 中的动态 SQL 来实现该需求，具体步骤如下：

1. 首先，在 SQL 语句中使用 `${}` 来引用变量。

2. 使用 MyBatis 中的字符串函数 `SUBSTR()` 截取字符串的最后两位。

3. 使用 MyBatis 中的动态 SQL `<![CDATA[ ]]>` 标签来拼接字符串。

4. 最后，将拼接后的字符串作为表名来执行 SQL 语句。

下面是一个示例代码片段，供你参考：

<select id="selectData" resultType="HashMap">
  SELECT *
  FROM ${tableName}<![CDATA[_]]><![CDATA[SUBSTR(${variable}, -2)]]
</select>

在这个示例中，`${tableName}` 变量表示表名，`${variable}` 变量表示需要截取的字符串变量，`SUBSTR()` 函数用于截取最后两位，`<![CDATA[ ]]>` 标签用于拼接字符串。最终 SQL 语句的表名为 `${tableName}_截取后的字符串变量最后两位`。