MyBatis模糊查询的几种方法

1.%和${}拼接(推荐)

where table_id like '%${your_id}%'

2.concat函数和#{}拼接的方式

table_id like concat('%',#{your_id},'%')

3.concat函数和${}拼接的方式

table_id like concat('%',${your_id},'%')

4.||和#{}拼接的方式

table_id like '%'||#{your_id}||'%'

分析：
（1）${}:表示拼接sql串，将接收到参数的内容不加任何修饰拼接在sql中，可能引发sql注入。
（2）#{}是预编译处理，MyBatis在处理#{}时，它会将sql中的#{}替换为？
传入字符串后，会在值两边加上单引号，使用占位符的方式提高效率，可以防止sql注入。因此最好使用#{}方式。
（3）concat函数最好不要使用，最好使用||，concat()只能对两个字符串进行拼接(字符串多的话只能嵌套使用)，而||可以对字符串无限拼接。