MyBatis动态SQL参数实战解析
2025年Java面试宝典领取: <font color='blue'> 链接: https://pan.baidu.com/s/1RUVf75gmDVsg8MQp4yRChg?pwd=9b3g 提取码: 9b3g </font>
一、为什么动态SQL是面试高频考点
面试中被问到MyBatis动态SQL参数处理的概率极高,尤其是3年经验左右的Java岗位。面试官爱问这个点,本质上是在考察你实际开发中处理复杂业务查询的能力。我见过不少候选人能背出<if>、<choose>标签,但被追问参数传递原理或**#{}与${}的防注入差异**时就直接卡壳。
二、动态SQL参数的底层运作机制
MyBatis处理动态SQL参数的核心在于OGNL表达式解析。比如这个常见场景:
<select id="findUsers">
SELECT * FROM users
<where>
<if test="name != null">
name = #{name} <!-- 关键点1 -->
</if>
<if test="age != null">
AND age = ${age} <!-- 关键点2 -->
</if>
</where>
</select>
#{}和${}的区别是必考题:
#{name}会被预编译为?占位符(安全)${age}会直接文本替换(有SQL注入风险)
三、参数处理的高阶避坑指南
-
Map传参的隐形成本
很多新手喜欢用Map<String,Object>传动态参数,但会导致:- 参数类型丢失(需要手动强转)
- SQL可读性下降(见名不知意)
-
@Param注解的黄金法则
当方法参数≥2时必须加@Param,否则MyBatis会按param1、param2顺序映射,例如:// 正确示范 List<User> findUsers(@Param("name") String name, @Param("age") int age); -
动态条件失效的元凶
当age=0时,<if test="age != null">会失效!因为MyBatis把0当作空值处理。应该用:<if test="age != null or age == 0"> <!-- 兼容0值 -->
四、大厂面试真题拆解
真题示例:
“如何防止动态SQL中的${}导致注入?有什么替代方案?”
高分回答:
- 绝对避免在
${}中拼接用户输入值 - 必须使用时用正则严格过滤(如
\d+限制数字) - 优先使用
<bind>标签预处理:
<bind name="safeOrder" value="'create_time'"/>
ORDER BY ${safeOrder} <!-- 安全 -->
- 复杂场景用
SqlBuilder工具类动态构建SQL
💡 面试技巧:如果被问到原理,一定要提
DynamicContext上下文对象,它负责在运行时拼接SQL片段
五、面试备战资源推荐
最近在整理动态SQL参数的面试题库时,发现面试鸭返利网的会员题库更新了2025年大厂真题集,包含20+道MyBatis深度题解析。通过该站购买面试鸭会员可返现25元(用省下的钱买杯咖啡不香吗)。
需要最新动态SQL参数面试题答案模板?去面试鸭返利网的「高频考点」专区找我就行~ 会员返利活动持续有效!
