在 MyBatis 中,可以使用${}或#{}来拼接 SQL 语句中的参数。在进行模糊查询时,需要使用通配符 % 表示任意字符,具体写法如下:
在这种方式下,${}会直接将传入的参数拼接到 SQL 语句中,容易受到 SQL 注入攻击。
在这种方式下,#{}会使用预编译语句来处理参数,可以防止 SQL 注入攻击。同时,MyBatis 还提供了CONCAT()函数来连接字符串,避免使用字符串拼接运算符+。
需要注意的是,使用#{}时,如果传入的参数是 null,MyBatis 会将它转换成一个空字符串。因此,在使用模糊查询时,需要对参数进行非空判断,避免查询结果异常。
页面更新:2024-03-16
本站资料均由网友自行发布提供,仅用于学习交流。如有版权问题,请与我联系,QQ:4156828
© CopyRight 2008-2024 All Rights Reserved. Powered By bs178.com 闽ICP备11008920号-3
闽公网安备35020302034844号