【MyBatis】 动态SQL——模糊查询 LIKE

一:LIKE % %

SELECT  * 
FROM t_usr 
WHERE  name like '%${name}%'

  SQL解析为:SELECT * FROM t_usr WHERE name like '%海%'
  可以看到,传参必须用${}不能用#{},所以这样写的弊端就是不安全,不能防sql注入
  有关LIKE使用,请参见:https://blog.csdn.net/wrs120/article/details/79305828

二: CONCAT()拼接%

SELECT  * 
 FROM t_usr  
 WHERE name like CONCAT('%',CONCAT(#{name},'%'))

  SQL解析为:SELECT * FROM t_usr WHERE name like CONCAT('%',CONCAT(?,'%'))
  拼接时%必须加引号
  有关CONCAT()使用,请参见:https://blog.csdn.net/wrs120/article/details/81148101


三:bind

  bind 元素可以从 OGNL 表达式中创建一个变量并将其绑定到上下文。OGNL(Object Graph Navigation Language的缩写)是一种强大的表达式语言,更多用法,见:https://blog.csdn.net/isea533/article/details/50061705/

  SELECT  *  
  FROM t_usr 
  WHERE
      <if test="name !=null || name !=''">
          "usrName" value="'%' + name + '%'"/>
          name like #{usrName}
      if>

  SQL解析为:SELECT * FROM t_usr WHERE name like ?


【总结】

  • 一与二,三的区别:一是数据不安全的,所以最好不用一方法
  • 使用二与三的区别:concat适用于mysql和sql server数据库,oracle数据库不支持,bind适用于mysql,sql server,oracle,所以为了通用性或避免因更换数据库带来的不便,选bind为好

你可能感兴趣的:(框架,------SSM)