IbatIS sql 参数传递中,sqlMap.xml中占位符可以使用两种:分别为#id# 和 $id$
#号占位符会自动在参数两边加上逗号。$号直接把参数替换。
然而#号占位符不只是加上了 引号这么简单,使用占位符#,ibatIS在执行sql语句之前会先把 sql语句 设置为预编译语句,例如 select * from table_a where id=?
最后把参数id传入,这样就防止了sql注入的发生。
如果使用$号占位符就会发生sql注入的发生,所以要避免使用 $号占位符。
然而怎么样使用like 模糊搜索呢?
解决办法为
1.在所传入的参数中使用SQL通配符。
2.要搜索内容的文本必须是能够被参数化的SQL表达式的一部分。例如:'%'||#value#||'%'
3.改为使用替代语法(用$作占位符)