人老了 总是记不住模糊查询怎么写的 再这里做个总结
1.#{}
#{}可以有效避免SQL注入,也是推荐的写法
'%'||#{param}#'%'CONTACT(CONTACT('%',#{param}),'%')"%"#{param}"%"
2.${}
'%${param}%'
程序中拼接
注意了 在程序中拼接也需要分在xml中是通过#{}还是${}
- 如果是
#{}方式只是传入一个参数的话,那么直接"%"+param+"%"这样在mybatis处理的时候就会将其当成一个完整的字符串,最后解析成的SQL语句就类似param='%param%',自动加上了单引号,千万不要在拼接的时候加上单引号,例如"'%"+param+"%'",最后Mybatis拼接时就会将其当做一个字符串了,而不是占位符了,然后就发现怎么都查不到,别问了怎么知道的,迷惑了一下午了 - 如果是
${}方式写完整的一个条件的话,比如"name like '%"+param+"%' ",需要将其加上单引号,对你没看错,因为${}相当于你写啥最后就成了啥,还记得order by后需要用${}就是这个原因。
网友评论