Mybatis模糊查询的四种方式 心已赠人 2022-12-16 09:21 273阅读 0赞 ### Mybatis模糊查询的四种方式 ### * 模糊查询方式 * * 方式一 * 方式二 * 方式三(推荐) * 方式四 * \#\{\} 与$\{\}对比总结 # 模糊查询方式 # Mybatis提供了模糊查询的方式,对模糊查询**like关键字**进行一个简单的总结。 ## 方式一 ## 1. 业务场景:根据姓名模糊查询用户; 配置文件 SELECT * FROM user WHERE name LIKE #{name} 测试类/数据 name = ‘%张%’ 分析:在调用处添加%作为模糊匹配通配符。 ## 方式二 ## 方式一的缺点:需要手动输入通配符,不方便 SELECT \* FROM user WHERE name LIKE ‘% $\{name\}%’ 原因是:如果加上单引号,那么就当成是一个字符串,而\#\{ \}写在字符串中不能识别,要改写成 这 种 形 式 。 分 析 : 通 过 使 用 “ \{ \}这种形式。 分析: 通过使用“ 这种形式。分析:通过使用“”也可以实现。但是通过$的方式拼接的sql语句,不再是以占位符的形式生成sql,而是以拼接字符串的方式生成sql,这样做带来的问题是:会引发sql注入的问题。 举例: where 1=1 or XXX,如登陆时即可输入任意密码可以登陆。 ## 方式三(推荐) ## Select * from table where name like concat('%',#{name},'%') 测试步骤省略,较简单。 **注意**:concat函数oracle和mysql的区别,oracle只可传入2个参数,oracle可嵌套使用concat函数,如下: Select from table where name like concat(concat('%',#{name}),'%') ## 方式四 ## 针对方式三,也可以使用$方式 select * from table where name like concat('%',${name},'%') # \#\{\} 与$\{\}对比总结 # 1、\#\{\} 是预编译处理,mybatis在处理时,会将?替换为输入参数的值,然后调用PrepareStatement的set方法来赋值,传入字符串时,会在字符串的两端加上单引号,使用占位符的方式提高效率,防止SQL注入。 2、$\{\}:表示SQL拼接,将接收到的参数内容不加任何修饰的拼接到SQL中,可能引起SQL注入。
还没有评论,来说两句吧...