本文详细解析了在MyBatis中实现模糊查询的三种方式,包括如何正确使用#{}
在持久层使用@Param注解给每个参数指定值,和服务层参数名一致
如:
@Param("cid") int cid
动态SQL使用方式点击 //参数也可以不用Map用Dao层参数
使用注解配置持久层并且是用字符串拼接方式的动态SQL时使用方式三,其他的字符串拼接可能会出现问题
方式一
此种方式需要在调用处手动的去添加“%”通配符。
sql语句中直接用
like #{rname}
rname传值要传 %李%
方式二
使用方式一可以实现模糊查询,但是有一点不方便的地方就是:在测试类中,传参时需要调用者手动的添加%号通配符,显然是麻烦的,能否在映射配置文件中直接将%号写好呢?
like %#{rname}%//这是错误的
测试后发现,程序会报错,原因是:缺少单引号。
这个时候,有朋友可能会这样想了,那干脆加一个“单引号”不就得了:
like '%#{rname}%'//错误的
测试后发现,程序依然会报错,原因是:如果加上单引号,那么就当成是一个字符串,而#{ }写在字符串中不能识别,要改写成${ }这种形式。
like '%${rname}%'
分析: 通过使用“ ” 也 可 以 实 现 。 但 是 通 过 ”也可以实现。但是通过 ”也可以实现。但是通过的方式拼接的sql语句,不再是以占位符的形式生成sql,而是以拼接字符串的方式生成sql,这样做带来的问题是:会引发sql注入的问题。
方式三
说明:通过前两种写法,虽然可以解决模糊查询的问题,但是还是不好,因为通过$的方式会引发sql注入的问题,现在的期望是:既能够解决sql注入又能在配置文件中写%该如何实现呢,可以借助mysql的函数。
like concat('%',#{rname},'%')
当然对于方式三,也可以使用$,不过需要特别留意单引号的问题。
like concat('%','${rname}','%')
总结
#{ }是预编译处理,MyBatis在处理#{ }时,它会将sql中的#{ }替换为?,然后调用PreparedStatement的set方法来赋值,传入字符串后,会在值两边加上单引号,使用占位符的方式提高效率,可以防止sql注入。
${}:表示拼接sql串,将接收到参数的内容不加任何修饰拼接在sql中,可能引发sql注入。
扫一扫
7627
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
