防止sql注入的方法:
mybatis 通用的写法用bind标签例如
<if test="searchParam != null and searchParam !='' ">
<bind name="searchLike" value="searchParam + '%'"/>
and (ASE.USER_ACCOUNT like #{searchLike}
or ASE.USER_NAME like #{searchLike})
</if>
oracle也可以 AND t.project_type_name like '%' || #{projectTypeName} || '%'
mysql 可以 用concat 函数