概述
在服务的使用"%"+target+"%"这种方式直接拼接到参数上面会有SQL注入的风险,但是在sql层面取拼接参数就不会。
mybatis拼接参数使用方式
like concat(concat("%",#{districtName}),"%")
在服务的使用"%"+target+"%"这种方式直接拼接到参数上面会有SQL注入的风险,但是在sql层面取拼接参数就不会。
mybatis拼接参数使用方式
like concat(concat("%",#{districtName}),"%")