1、根據姓名模糊查詢員工信息
1.1、方式一
步驟一:編寫配置文件
步驟二:測試
步驟三:分析 此種方式需要在調用處手動的去添加“%”通配符。1.2、方式二
說明: 使用方式一可以實現模糊查詢,但是有一點不方便的地方就是:在測試類中,調用selectList()方法傳參時需要調用者手動的添加%號通配符,顯然是麻煩的,能否在映射配置文件中直接將%號寫好呢? 有的朋友可能會這么想,好辦,直接在配置文件中這么寫:形如1:
測試后發現,程序會報錯,原因是:缺少單引號。
這個時候,有朋友可能會這樣想了,那干脆加一個“單引號”不就得了,形如2:
形如2:
測試后發現,程序依然會報錯,原因是:如果加上單引號,那么就當成是一個字符串,而#{ }寫在字符串中不能識別,要改寫成${ }這種形式。
即:形如3
形如3
分析: 通過使用“$”也可以實現。但是通過$的方式拼接的sql語句,不再是以占位符的形式生成sql,而是以拼接字符串的方式生成sql,這樣做帶來的問題是:會引發sql注入的問題。1.3、方式三
說明:通過前兩種寫法,雖然可以解決模糊查詢的問題,但是還是不好,因為通過%的方式會引發sql注入的問題,現在的期望是:既能夠解決sql注入又能在配置文件中寫%該如何實現呢,可以借助mysql的函數。步驟一:編寫映射文件
步驟二:測試 此步驟省略,比較簡單。1.4、方式四
說明: 當然對於方式三,也可以使用$,不過需要特別留意單引號的問題。步驟一:編寫配置文件
步驟二:測試 該步驟省略。2、總結
#{ }是預編譯處理,MyBatis在處理#{ }時,它會將sql中的#{ }替換為?,然后調用PreparedStatement的set方法來賦值,傳入字符串后,會在值兩邊加上單引號,使用占位符的方式提高效率,可以防止sql注入。${}:表示拼接sql串,將接收到參數的內容不加任何修飾拼接在sql中,可能引發sql注入。