一、准备工作

创建数据库和表

-- 创建数据库
drop database if exists mycnblog;
create database mycnblog DEFAULT CHARACTER SET utf8mb4;

-- 使用数据数据
use mycnblog;

-- 创建表[用户表]
drop table if exists  userinfo;
create table userinfo(
    id int primary key auto_increment,
    username varchar(100) not null,
    password varchar(32) not null,
    photo varchar(500) default '',
    createtime datetime default now(),
    updatetime datetime default now(),
    `state` int default 1
) default charset 'utf8mb4';

添加实体类

package com.example.demo.model;

import lombok.Data;

import java.util.Date;

/**
 * 普通的实体类，用于 Mybatis 做数据库表（userinfo表）的映射
 * 注意事项：保证类属性名称和userinfo表的字段完全一致!
 */
@Data
public class UserInfo {
    private int id;
    private String name;
    private String password;
    private String photo;
    private Date createtime;
    private Date updatetime;
    private int state;
}

添加 mapper 接口 (数据持久层)

package com.example.demo.mapper;

import org.apache.ibatis.annotations.Mapper;

@Mapper
public interface UserMapper {
    
}

创建与接口对应的 xml 文件

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE mapper PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN" "http://mybatis.org/dtd/mybatis-3-mapper.dtd">
<mapper namespace="com.example.demo.mapper.UserMapper">

</mapper>

二、参数占位符 #{} 和 ${}

• #{}：预编译处理。
  预编译处理是指：MyBatis 在处理#{}时，会将 SQL 中的 #{} 替换为?号，使⽤ PreparedStatement 的 set ⽅法来赋值。

• ${}：字符直接替换。
  直接替换：是MyBatis 在处理 ${} 时，就是把 ${} 替换成变量的值。

预编译处理和字符串替换的区别故事（头等舱和经济舱乘机分离的故事）：
乘坐飞机，头等舱和经济舱的区别是很⼤的。

• ⼀般航空公司乘机都是头等舱和经济舱分离的，头等舱的⼈先登机，登机完之后，封闭经济舱，然后再让经济舱的乘客登机，这样的好处是可以避免浑⽔摸⻥，经济舱的⼈混到头等舱的情况，这就相当于预处理，可以解决程序中不安全（越权处理）的问题。
  
• ⽽直接替换的情况相当于，头等舱和经济舱不分离的情况，这样经济舱的乘客在通过安检之后可能越权摸到头等舱，如下图所示：
  
  这就相当于参数直接替换，它的问题是可能会带来越权查询和操作数据等问题，⽐如后⾯会讲的 SQL 注⼊问题。

三、特殊场景

3.1 特殊场景 1 – String

3.1.1 使用 #{}

username 唯一。

插入一条数据：

-- 添加一个用户信息
INSERT INTO `mycnblog`.`userinfo` (`id`, `username`, `password`, `photo`, `createtime`, `updatetime`, `state`) VALUES 
(1, 'admin', 'admin', '', '2021-12-06 17:10:48', '2021-12-06 17:10:48', 1);

UserMapper 接口：

    // 根据用户姓名完全匹配查询
    public UserInfo getUserByName(@Param("username") String username);

UserMapper.xml：

    <select id="getUserByName" resultType="com.example.demo.model.UserInfo">
        select * from userinfo where username=#{username}
    </select>

单元测试：

package com.example.demo.mapper;

import com.example.demo.model.UserInfo;
import org.junit.jupiter.api.Test;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.boot.test.context.SpringBootTest;

import java.util.List;

import static org.junit.jupiter.api.Assertions.*;

@SpringBootTest // 当前测试的上下文环境为 springboot
class UserMapperTest {

    @Autowired
    private UserMapper userMapper;

    @Test
    void getUserByName() {
        UserInfo userInfo = userMapper.getUserByName("admin");
        System.out.println("userinfo -> " + userInfo);
    }
}

经测试，成功打印了我们插入的数据信息。

3.1.2 使用 ${}

UserMapper.xml：

    <select id="getUserByName" resultType="com.example.demo.model.UserInfo">
        select * from userinfo where username=${username}
    </select>

此时进行单元测试，报错了！：

3.1.3 分析与解决

• #{} 预编译处理：识别出来为字符串，就会自动加上引号''
• ${} 字符直接替换：缺少引号，所以查找不到 username (去查找字段了！)

在其外加一层单引号：'${username}' 即可。

那么无论是 #{} 还是 ${}，都加上 '' 不就可以了吗？
理论上是可以的，但是会产生很多隐式类型转换！一旦存在隐式类型转换就不会走索引了，效率会大大降低！！！

3.2 特殊场景 2 – MySQL 关键字

例如排序时：order by xxx asc/desc

此时传递的虽然也是一个字符串，但是我们并不希望给它加上引号！
所以只能使用 ${} 字符直接替换！

UserMapper 接口：

    // 查询所有的信息（根据排序条件进行排序）
    public List<UserInfo> getAllByOrder(@Param("order") String order);

UserMapper.xml：

    <select id="getAllByOrder" resultType="com.example.demo.model.UserInfo">
        select * from userinfo order by id ${order}
    </select>

但因为 SQL 注入问题，这种场景使用 ${} 时必须在 controller 中验证一下参数 (字符串必须是 asc/desc，否则代码就不要继续往下执行了！)

3.3 特殊场景 3 – SQL 注入问题 (重要)

    <select id="isLogin" resultType="com.example.demo.model.UserInfo">
        select * from userinfo where username='${name}' and password='${pwd}'
    </select>

sql 注入代码：' or 1='1 …

${} 字符直接替换，这时就忽略了密码直接登录了！十分危险！！！
因此绝大部分场景都会避免使用 ${}。

3.4 特殊场景 4 – 模糊查询 like

    <select id="findUserByName2" resultType="com.example.demo.model.UserInfo">
        select * from userinfo where username like '%#{username}%';
    </select>

使用 #{} 会报错！
预编译会识别为字符串类型自动加上引号，不符合预期
相当于是：select * from userinfo where username like ‘%‘username’%’;

此时也并不能直接使用 ${}：会有 SQL 注入风险。在 controller 进行检查判断也不可取，因为传来的字符串是有无数种可能的，无法检查判断！

这时可以使用 MySQL 的内置函数 concat() 来处理，实现代码如下：

    <select id="findUserByName3" resultType="com.example.demo.model.UserInfo">
        select * from userinfo where username like concat('%',#{username},'%');
    </select>

这种写法完全没有问题 ~