【MyBatis】 动态SQL——模糊查询 LIKE

一：LIKE % %

SELECT  * 
FROM t_usr 
WHERE  name like '%${name}%'

  SQL解析为：SELECT * FROM t_usr WHERE name like '%海%'
  可以看到，传参必须用${}不能用#{}，所以这样写的弊端就是不安全，不能防sql注入
  有关LIKE使用，请参见：https://blog.csdn.net/wrs120/article/details/79305828

二： CONCAT()拼接%

SELECT  * 
 FROM t_usr  
 WHERE name like CONCAT('%',CONCAT(#{name},'%'))

  SQL解析为：SELECT * FROM t_usr WHERE name like CONCAT('%',CONCAT(?,'%'))
  拼接时%必须加引号
  有关CONCAT()使用，请参见：https://blog.csdn.net/wrs120/article/details/81148101

三：bind

  bind 元素可以从 OGNL 表达式中创建一个变量并将其绑定到上下文。OGNL(Object Graph Navigation Language的缩写)是一种强大的表达式语言，更多用法，见：https://blog.csdn.net/isea533/article/details/50061705/

  SELECT  *  
  FROM t_usr 
  WHERE
      <if test="name !=null || name !=''">
          "usrName" value="'%' + name + '%'"/>
          name like #{usrName}
      if>

  SQL解析为：SELECT * FROM t_usr WHERE name like ?

【总结】

• 一与二，三的区别：一是数据不安全的，所以最好不用一方法
• 使用二与三的区别：concat适用于mysql和sql server数据库，oracle数据库不支持，bind适用于mysql，sql server，oracle，所以为了通用性或避免因更换数据库带来的不便，选bind为好