mybatis模糊查询

Posted 2020-09-20

select * from user where username like  ‘%#{name}%‘   这个不可以，因为#{}占位符方式的值，本身就带有‘‘   相对于：‘%‘张三‘%‘ 

 

官方文档使用${value}方式

select * from user where username like  ‘%${name}%‘   ${}的内容会原样输出，不会加‘‘,  但是存在注入的风险。

 

终极解决方式：

select * from user where username like  "%"#{name}"%"

 

注意：

 

#{}表示一个占位符号，通过#{}可以实现preparedStatement向占位符中设置值，自动进行java类型和jdbc类型转换。#{}可以有效防止sql注入。 #{}可以接收简单类型值或pojo属性值。 如果parameterType传输单个简单类型值，#{}括号中可以是value或其它名称。

 

 

 

${}表示拼接sql串，通过${}可以将parameterType 传入的内容拼接在sql中且不进行jdbc类型转换， ${}可以接收简单类型值或pojo属性值，如果parameterType传输单个简单类型值，${}括号中只能是value。