关于Mybatis注解开发的模糊查询语句
Mybatis开发
方式一:映射配置文件xxxMapper.xml
方式二:注解
注意:只能使用一种开发方式,不能混搭
模糊查询SQL语句
以注解方式为例:
/**
* 根据用户名称模糊查询
* @param username
* @return
*/
// @Select("select * from user where username like #{username} ")传参时要自带%%,否则就变成精准查询
// @Select("select * from user where username like '%${username}%' 会报错,改成'%${value}%',里面只能是value
@Select("select * from user where username like CONCAT('%',#{username},'%')")
List<User> findUserByName(String username);
说明:
1.CONCAT函数返回的是连接参数的字符串
2.’%${value}%'固定写法,因为源码中指定读取的key是value,且传入参数是单个简单类型值, ${}只能是value
拓展:#{}与${}的区别
#{} | ${} |
---|---|
是一个占位符,相当于? | 表示sql拼接串 |
可以有效防止 sql 注入 | 不行 |
如果 parameterType 传输单个简单类型值,#{}括号中可以是 value 或其它名称 | value |
共同点:可以接收简单类型值或 pojo(普通实体类) 属性值。
关于sql注入:
即SQL语句的逻辑结构改变,使得执行结果和开发者的意图不一样;
- #{}底层采用的是PreparedStatement,会预编译,会对一些敏感的字符进行过滤,编译过后会对传递的值加上双引号,可以有效防止 sql 注入
- ${}匹配的是真实传递的值,传递过后,会与sql语句进行字符串拼接,不能预防sql注入问题。