Mybatis模糊查询的四种方式
1、根据姓名模糊查询员工信息
1.1、方式一
步骤一:编写配置文件
步骤二:测试
步骤三:分析 此种方式需要在调用处手动的去添加“%”通配符。
1.2、方式二
测试后发现,程序会报错,原因是:缺少单引号。
测试后发现,程序依然会报错,原因是:如果加上单引号,那么就当成是一个字符串,而#{ }写在字符串中不能识别,要改写成${ }这种形式。
分析: 通过使用“ ” 也 可 以 实 现 。 但 是 通 过 ”也可以实现。但是通过 ”也可以实现。但是通过的方式拼接的sql语句,不再是以占位符的形式生成sql,而是以拼接字符串的方式生成sql,这样做带来的问题是:会引发sql注入的问题。
1.3、方式三(推荐)
说明:通过前两种写法,虽然可以解决模糊查询的问题,但是还是不好,因为通过%的方式会引发sql注入的问题,现在的期望是:既能够解决sql注入又能在配置文件中写%该如何实现呢,可以借助mysql的函数。
步骤一:编写映射文件
步骤二:测试 此步骤省略,比较简单。
1.4、方式四
说明: 当然对于方式三,也可以使用$,不过需要特别留意单引号的问题。步骤一:编写配置文件
步骤二:测试 该步骤省略。
2、总结
#{ }是预编译处理,MyBatis在处理#{ }时,它会将sql中的#{ }替换为?,然后调用PreparedStatement的set方法来赋值,传入字符串后,会在值两边加上单引号,使用占位符的方式提高效率,可以防止sql注入。 ${}:表示拼接sql串,将接收到参数的内容不加任何修饰拼接在sql中,可能引发sql注入。
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请联系我们举报,一经查实,本站将立刻删除。
发布者:全栈程序员-站长,转载请注明出处:https://javaforall.net/233388.html原文链接:https://javaforall.net
