引數（Parameters）

前面的所有語句中你所見到的都是簡單引數的例子，實際上引數是 MyBatis 非常強大的元素，對於簡單的做法，大概 90% 的情況引數都很少，比如：

<selectid="selectUsers"resultType="User">
  select id, username, password
  from users
  where id = #{id}
</select>

上面的這個示例說明了一個非常簡單的命名引數對映。引數型別被設定為 int，這樣這個引數就可以被設定成任何內容。原生的型別或簡單資料型別（比如整型和字串）因為沒有相關屬性，它會完全用引數值來替代。然而，如果傳入一個複雜的物件，行為就會有一點不同了。比如：

<insertid="insertUser"parameterType="User">
  insert into users (id, username, password)
  values (#{id}, #{username}, #{password})
</insert>

如果 User 型別的引數物件傳遞到了語句中，id、username 和 password 屬性將會被查詢，然後將它們的值傳入預處理語句的引數中。

這點相對於向語句中傳參是比較好的，而且又簡單，不過引數對映的功能遠不止於此。

首先，像 MyBatis 的其他部分一樣，引數也可以指定一個特殊的資料型別。

#{property,javaType=int,jdbcType=NUMERIC}

像 MyBatis 的剩餘部分一樣，javaType 通常可以由引數物件確定，除非該物件是一個 HashMap。這時所使用的 TypeHandler 應該明確指明 javaType。

NOTE 如果一個列允許 null 值，並且會傳遞值 null 的引數，就必須要指定 JDBC Type。閱讀 PreparedStatement.setNull()

為了以後定製型別處理方式，你也可以指定一個特殊的型別處理器類（或別名），比如：

#{age,javaType=int,jdbcType=NUMERIC,typeHandler=MyTypeHandler}

儘管看起來配置變得越來越繁瑣，但實際上，很少需要去設定它們。

對於數值型別，還有一個小數保留位數的設定，來確定小數點後保留的位數。

#{height,javaType=double,jdbcType=NUMERIC,numericScale=2}

最後，mode 屬性允許你指定 IN，OUT 或 INOUT 引數。如果引數為 OUT 或 INOUT，引數物件屬性的真實值將會被改變，就像你在獲取輸出引數時所期望的那樣。如果 mode 為 OUT（或 INOUT），而且 jdbcType 為 CURSOR(也就是 Oracle 的 REFCURSOR)，你必須指定一個 resultMap 來對映結果集 ResultMap 到引數型別。要注意這裡的 javaType 屬性是可選的，如果留空並且 jdbcType 是 CURSOR，它會被自動地被設為 ResultMap。

#{department, mode=OUT, jdbcType=CURSOR, javaType=ResultSet, resultMap=departmentResultMap}

MyBatis 也支援很多高階的資料型別，比如結構體，但是當註冊 out 引數時你必須告訴它語句型別名稱。比如（再次提示，在實際中要像這樣不能換行）：

#{middleInitial, mode=OUT, jdbcType=STRUCT, jdbcTypeName=MY_TYPE, resultMap=departmentResultMap}

儘管所有這些選項很強大，但大多時候你只須簡單地指定屬性名，其他的事情 MyBatis 會自己去推斷，頂多要為可能為空的列指定 jdbcType。

#{firstName}#{middleInitial,jdbcType=VARCHAR}#{lastName}

字串替換

預設情況下,使用 #{} 格式的語法會導致 MyBatis 建立 PreparedStatement 引數並安全地設定引數（就像使用 ? 一樣）。這樣做更安全，更迅速，通常也是首選做法，不過有時你就是想直接在 SQL 語句中插入一個不轉義的字串。比如，像 ORDER BY，你可以這樣來使用：

ORDER BY ${columnName}

這裡 MyBatis 不會修改或轉義字串。

NOTE 用這種方式接受使用者的輸入，並將其用於語句中的引數是不安全的，會導致潛在的 SQL 注入攻擊，因此要麼不允許使用者輸入這些欄位，要麼自行轉義並檢驗。