1.concat函数和#{}拼接的方式
select * from sys_user where student_name like concat('%',#{studentName},'%')
2.%和${}拼接的方式
select * from sys_user where student_name like '%${studentName}%'
3.concat函数和${}拼接的方式
select * from sys_user where student_name like concat('%','${studentName}','%')
4.||和#{}拼接的方式
select * from sys_user where student_name like '%'||#{studentName}||'%'
分析: (1)${}:表示拼接sql串,将接收到参数的内容不加任何修饰拼接在sql中,可能引发sql注入。 (2)#{ }是预编译处理,MyBatis在处理#{ }时,它会将sql中的#{ }替换为?,然后调用PreparedStatement的set方法来赋值,传入字符串后,会在值两边加上单引号,使用占位符的方式提高效率,可以防止sql注入。因此最好使用#{ }方式。 (3)concat函数最好不要使用,最好使用||,因为在Oracle中,concat()只能对两个字符串进行拼接(字符串多的话只能嵌套使用),而||可以对字符串无限拼接。
5. 使用band标签
<select id="selectUsersByName" resultType="User">
select * from sys_user
<where>
<if test="name != null">
<!-- 使用 bind 标签来创建一个可以在 SQL 中使用的模糊匹配变量 -->
<bind name="pattern" value="'%' + name + '%'"/>
and name like #{pattern}
</if>
</where>
</select>
