方式一:LIKE % %
SELECT * FROM personinfo
WHERE name LIKE '%${name}%'
SQL输出为:SELECT * FROM t_usr WHERE name LIKE '%池子%'
实践验证传参必须用${}不能用#{},如果使用#{}会查询不出结果,所以这样写的弊端就是不安全,不能防sql注入 。
方式二:CONCAT()拼接%
SELECT * FROM personinfo
WHERE name LIKE CONCAT('%',CONCAT(#{name},'%'))
SQL输出为:SELECT * FROM personinfo WHERE name LIKE ?
拼接时%必须加引号 。
方式三:BIND
BIND元素可以从 OGNL 表达式中创建一个变量并将其绑定到上下文。OGNL(Object Graph Navigation Language的缩写)
SELECT * FROM personinfo
WHERE
<if test="name !=null || name !=''">
<bind name="usrName" value="'%' + name + '%'"/>
name LIKE #{usrName}
</if>
SQL输出为:SELECT * FROM personinfo WHERE name LIKE ?
经过实践总结:
一与二,三的区别在于第一种方式写法比较简单,但从数据安全的角度来说,不建议使用;
而二与三的区别是这样的,网上有人说concat适用于mysql和sql server数据库,但是我通过尝试,concat对Oracle同样适用,可能bind方式匹配更好一些,为避免系统出现问题,我选择使用bind。