大家好，我是烤鴨：

?? ?遇到一個maybatis傳參的問題。
?? ?如果傳參是數字+逗號的形式，比如1,2,3,4,5。

?

問題復現：

項目中查詢sql和navicat查詢sql結果不一致。

1? ? 項目中：

如圖所示，查到一條數據。

可以看到上面設置進去的參數是String類型的，也就是 IN ('1,2,3,4,5')。很顯然，這不是我們想要的。

2.? ? navicat中：

同樣的sql復制到navicat里，是5條。

?

3.? ? ?查找原因：

為什么會有這個問題呢。 為了找問題，將傳入的參數寫死是沒有問題的。

問題在于#符號，#是先生成sql，后采用占位符的方式，將參數放進去。

---

4.? ? 解決方式：

知道問題就比較好改了，將#換成$就可以了。

$是在sql生成時，把參數傳入sql中。#是在sql后，將參數生成到占位符上。
這篇文章從源碼角度說了兩者的區別。

http://www.importnew.com/25791.html

$的第二種寫法，更麻煩了，沒必要：

<select id="selectByFlowIds" resultType="PreAuthorizeHnydExpendFlow">SELECT<include refid="preAuthorizeHnydExpendFlowColumns"/>FROM pre_authorize_hnyd_expend_flow aWHERE 1 = 1AND FIND_IN_SET(a.expend_id, #{flowIds})<if test="flowIds != null and flowIds!= ''">AND a.expend_id IN<foreach collection="flowIds.split(',')" item="flowId" index="index" open="(" close=")" separator=",">'#{flowId}'</foreach></if> </select>

但是我們都知道$會有sql注入的風險，用#改寫這個，采用mysql的FIND_IN_SET函數。

<select id="selectByFlowIds" resultType="PreAuthorizeHnydExpendFlow">SELECT<include refid="preAuthorizeHnydExpendFlowColumns"/>FROM pre_authorize_hnyd_expend_flow aWHERE 1 = 1AND FIND_IN_SET(a.expend_id, #{flowIds}) </select>

總結一下：

來源：?

https://www.cnblogs.com/friends-wf/p/4227999.html

mybatis中的#和$的區別

#相當于對數據 加上 雙引號，$相當于直接顯示數據

1. #將傳入的數據都當成一個字符串，會對自動傳入的數據加一個雙引號。如：order by #user_id#，如果傳入的值是111,那么解析成sql時的值為order by "111", 如果傳入的值是id，則解析成的sql為order by "id".
　　
2. $將傳入的數據直接顯示生成在sql中。如：order by $user_id$，如果傳入的值是111,那么解析成sql時的值為order by user_id,? 如果傳入的值是id，則解析成的sql為order by id.
　　
3. #方式能夠很大程度防止sql注入。
　　
4.$方式無法防止Sql注入。

5.$方式一般用于傳入數據庫對象，例如傳入表名.
　　
6.一般能用#的就別用$.

MyBatis排序時使用order by 動態參數時需要注意，用$而不是#

字符串替換
默認情況下，使用#{}格式的語法會導致MyBatis創建預處理語句屬性并以它為背景設置安全的值（比如?）。這樣做很安全，很迅速也是首選做法，有時你只是想直接在SQL語句中插入一個不改變的字符串。比如，像ORDER BY，你可以這樣來使用：
ORDER BY ${columnName}
這里MyBatis不會修改或轉義字符串。

重要：接受從用戶輸出的內容并提供給語句中不變的字符串，這樣做是不安全的。這會導致潛在的SQL注入攻擊，因此你不應該允許用戶輸入這些字段，或者通常自行轉義并檢查。

總結

以上是生活随笔為你收集整理的myabtis 数字+逗号 传参问题 $和#的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。