?WHERE sku_code IN
?<foreach collection="listHistoryBrowseDateVO.list" item="skuCode" index="index" open="(" close=")"
? ? ? ? ? separator=",">
? ? ?#{skuCode}
?</foreach>

以上代碼在迭代器中，給IN函數(shù)賦值的時(shí)候，使用的是#{ }占位符號(hào)，最后解析出的sql是：

WHERE sku_code IN （A,B,C,D,E,F）不符合IN函數(shù)填充查詢格式。

兩種解決方式

1、將入?yún)⑻幚頌椋?String ‘A’,‘B’,‘C’,‘D’,‘E’,‘F’，然后使用占位符 WHERE sku_code IN (#{}) 直接填充

2、入?yún)⑻幚頌椋篖ist [ ‘A’,‘B’,‘C’,‘D’,‘E’,‘F’]，使用迭代器+拼接符${}

入?yún)?List<String> [ 'A','B','C','D','E','F']

?WHERE sku_code IN
?<foreach collection="listHistoryBrowseDateVO.list" item="skuCode" index="index" open="(" close=")"
? ? ? ? ? separator=",">
? ? ?${skuCode}
?</foreach>

Mybatis-plus #{} 占位符，${}拼接符，在sql解析的時(shí)是有區(qū)別的

精講#{}和${}的區(qū)別是什么？

經(jīng)常碰到這樣的面試題目：#{}和${}的區(qū)別是什么？

網(wǎng)上的答案是：

#{}是預(yù)編譯處理，${}是字符串替換。mybatis在處理#{}時(shí)，會(huì)將sql中的#{}替換為?號(hào)，調(diào)用PreparedStatement的set方法來賦值；mybatis在處理${}時(shí)，就是把${}替換成變量的值。使用#{}可以有效的防止SQL注入，提高系統(tǒng)安全性。

對(duì)于這個(gè)問題我感覺要抓住兩點(diǎn)

（1）$符號(hào)一般用來當(dāng)作占位符，常使用Linux腳本的人應(yīng)該對(duì)此有更深的體會(huì)吧。既然是占位符，當(dāng)然就是被用來替換的。知道了這點(diǎn)就能很容易區(qū)分$和#，從而不容易記錯(cuò)了。

（2）預(yù)編譯的機(jī)制。預(yù)編譯是提前對(duì)SQL語句進(jìn)行預(yù)編譯，而其后注入的參數(shù)將不會(huì)再進(jìn)行SQL編譯。我們知道，SQL注入是發(fā)生在編譯的過程中，因?yàn)閻阂庾⑷肓四承┨厥庾址詈蟊痪幾g成了惡意的執(zhí)行操作。而預(yù)編譯機(jī)制則可以很好的防止SQL注入。

最后想說的是，對(duì)于mybatis以及sql而言，每一個(gè)考點(diǎn)背后都是有一個(gè)深刻的思想存在的，應(yīng)該好好的體會(huì)。這樣才能真正的做到技術(shù)提升，成為技術(shù)大牛。

以上為個(gè)人經(jīng)驗(yàn)，希望能給大家一個(gè)參考，也希望大家多多支持腳本之家。

您可能感興趣的文章: