ibatis SQLmap mysql模糊查询字符串拼的三种方法

在通常情况下iBATIS的参数在sqlmap中使用#param#的形式，参数名以’#’包着，但当使用sql的LIKE语句时就发生了问题，在单引号中无法使用#param#这种形式，下面列举出了3种方法来实现：

当应用SELECT * FROM TABLE WHERE COL LIKE ’value%’时如果要把’value’以参数代替，可以把整个LIKE后面的字符串全改为参数，即 SELECT * FROM TABLE WHERE COL LIKE #param#，此时参数param的值为字符串"value%"。但有时上面这种情况会使程序变复杂，所以用参数只代替’value’时就要碰到在单引号内使用参数的问题。这时是使用’$’将参数名包起来，即SELECT * FROM TABLE WHERE COL LIKE ’$param$%’，此时参数param的值就是字符串"value"。

在网上看到另一种方法，就是SELECT * FROM TABLE WHERE COL LIKE #param#||’%’。这个方法我试过了，是无效的的，mysql中"||"代表程序中的OR，无法正常运行。但是可以通过mysql的字符串了连接函数：contat来实现，将字符串连接起来，这样就可以了，SELECT * FROM TABLE WHERE COL LIKE contat(#param#,’%’)

方法三：在通常情况下iBATIS的参数在sqlmap中使用#param#的形式，参数名以’#’包着，但当使用sql的LIKE语句时就发生了问题，在单引号中无法使用#param#这种形式当应用SELECT * FROM TABLE WHERE COL LIKE ’value%’时如果要把’value’以参数代替，可以把整个LIKE后面的字符串全改为参数，即 SELECT * FROM TABLE WHERE COL LIKE #param#，此时参数param的值为字符串"value%"。