mybatis模糊查询防止SQL注入

推荐写法

    <select id="getByNameGood" parameterType="string" resultType="com.javaone.passmybatis.entity.Student">
        select
        s.age,
        s.email,
        s.id,
        s.name
        from
        student s
        where s.name like concat('%',#{name},'%')
    </select>

使用like concat后就使用#{}的形式来占位了。

写法二

where s.name like concat('%',${name},'%')

这个其实也是可以的

差异分析

• #{}是预编译处理，mybatis在处理#{}时，它会将sql中的#{}替换为？，然后调用PreparedStatement的set方法来赋值,传入字符串后，会在值的两边加上单引号。使用占位符的方式提高效率，防止sql注入
• ${}:表示拼接sql串，将接收到的参数的内容不加修饰拼接在sql中，可能引发sql注入