1. sql中字符串拼接
SELECT * FROM tableName WHERE name LIKE CONCAT(CONCAT('%', #{text}), '%');
2. 使用 ${...} 代替 #{...}
SELECT * FROM tableName WHERE name LIKE '%${text}%';
${}解析過來的參數值不帶單引號,#{}解析傳過來參數帶單引號。
使用第二種${}的拼接存在sql注入攻擊的風險,例如例2中查詢的是
1' or 1=1 or '1
就會返回所有數據,這只是個最簡單的方式,而在java代碼中先拼接好字符串
然后#{text}傳入能避免這個問題。
3. 程序中拼接
Java
// or String searchText = "%" + text + "%";
String searchText = new StringBuilder("%").append(text).append("%").toString();
parameterMap.put("text", searchText);
SqlMap.xml
SELECT * FROM tableName WHERE name LIKE #{text};