mybatis中四种模糊查询的方式

2.8、mybatis的模糊查询

方式一:

手动添加"%"通配符

  • xml配置:
<!--模糊查询-->
<select id="fuzzyQuery" resultType="com.bin.pojo.Book">
    select * from mybatis.book where bookName like #{info};
</select>
  • 测试:
@Test
public void fuzzyQuery(){
    SqlSession sqlSession = MybatisUtils.getSqlSession();
    BookMapper mapper = sqlSession.getMapper(BookMapper.class);
    List<Book> books = mapper.fuzzyQuery("%萨%");
    for (Book book : books) {
        System.out.println(book);
    }
    sqlSession.close();
}

**说明:**需要手动添加"%"通配符,显然这种方式很麻烦,并且如果忘记添加通配符的话就会变成普通的查询语句,匹配全部字符查询。

  • 缺点:
    • 麻烦
    • 易出错
方式二:

在xml配置文件中添加"%"通配符,拼接字符串形式

<select id="fuzzyQuery" resultType="com.bin.pojo.Book">
    select * from mybatis.book where bookName like '%${info}%';
</select>

**说明:**在mapper.xml配置文件中添加"%"通配符,但是需要用单引号将其包裹住,但是用单引号裹住之后#{}就无法被识别,要改成${}这种拼接字符串的形式。虽然通过方式二优化了方式一的缺点,但同时也造成了SQL安全性的问题,也就是用户可以进行SQL注入。

  • 缺点:
    • 不安全,可进行SQL注入
方式三:

在xml配置文件中添加"%"通配符,借助mysql函数

<select id="fuzzyQuery" resultType="com.bin.pojo.Book">
    select * from mybatis.book where bookName like 
    concat('%',#{info},'%');
</select>

**说明:**解决了SQL注入且能在配置文件中写"%"通配符的问题,完美实现了模糊查询

  • 优点:
    • 安全
    • 方便
方式四:

与方式三一样使用mysqk函数,但使的用是${}形式,不过需要用单引号包裹住

<select id="fuzzyQuery" resultType="com.bin.pojo.Book">
    select * from mybatis.book where bookName like 
    concat('%','${info}','%');
</select>
总结:
  • #{}是预编译处理,mybatis在处理#{}时,会将其替换成"?",再调用PreparedStatement的set方法来赋值。
  • ${}是拼接字符串,将接收到的参数的内容不加任何修饰的拼接在SQL语句中,会引发SQL注入问题。
  • 46
    点赞
  • 107
    收藏
    觉得还不错? 一键收藏
  • 3
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值