模糊查询方式
Mybatis提供了模糊查询的方式,对模糊查询like关键字进行一个简单的总结。
方式一
- 业务场景:根据姓名模糊查询用户;
配置文件
SELECT * FROM user WHERE name LIKE #{name}
测试类/数据
name = ‘%张%’
分析:在调用处添加%作为模糊匹配通配符。
方式二
方式一的缺点:需要手动输入通配符,不方便
SELECT * FROM user WHERE name LIKE ‘% ${name}%’
原因是:如果加上单引号,那么就当成是一个字符串,而#{ }写在字符串中不能识别,要改写成
这
种
形
式
。
分
析
:
通
过
使
用
“
{ }这种形式。 分析: 通过使用“
这种形式。分析:通过使用“”也可以实现。但是通过$的方式拼接的sql语句,不再是以占位符的形式生成sql,而是以拼接字符串的方式生成sql,这样做带来的问题是:会引发sql注入的问题。
举例: where 1=1 or XXX,如登陆时即可输入任意密码可以登陆。
方式三(推荐)
Select * from table where name like concat('%',#{name},'%')
测试步骤省略,较简单。
注意:concat函数oracle和mysql的区别,oracle只可传入2个参数,oracle可嵌套使用concat函数,如下:
Select from table where name like concat(concat('%',#{name}),'%')
方式四
针对方式三,也可以使用$方式
select * from table where name like concat('%',${name},'%')
#{} 与${}对比总结
1、#{} 是预编译处理,mybatis在处理时,会将?替换为输入参数的值,然后调用PrepareStatement的set方法来赋值,传入字符串时,会在字符串的两端加上单引号,使用占位符的方式提高效率,防止SQL注入。
2、${}:表示SQL拼接,将接收到的参数内容不加任何修饰的拼接到SQL中,可能引起SQL注入。