Mybatis模糊查询的四种方式

模糊查询方式

Mybatis提供了模糊查询的方式，对模糊查询like关键字进行一个简单的总结。

方式一

1. 业务场景：根据姓名模糊查询用户；
   配置文件

SELECT * FROM user WHERE name LIKE #{name}

测试类/数据
name = ‘%张%’

分析：在调用处添加%作为模糊匹配通配符。

方式二

方式一的缺点：需要手动输入通配符，不方便
SELECT * FROM user WHERE name LIKE ‘% ${name}%’

原因是：如果加上单引号，那么就当成是一个字符串，而#{ }写在字符串中不能识别，要改写成$这种形式。分析：通过使用“$”也可以实现。但是通过$的方式拼接的sql语句，不再是以占位符的形式生成sql，而是以拼接字符串的方式生成sql，这样做带来的问题是：会引发sql注入的问题。
举例： where 1=1 or XXX，如登陆时即可输入任意密码可以登陆。

方式三（推荐）

Select * from table where name like concat('%',#{name},'%')

测试步骤省略，较简单。
注意：concat函数oracle和mysql的区别，oracle只可传入2个参数，oracle可嵌套使用concat函数，如下：

Select  from table where name like concat(concat('%',#{name}),'%')

方式四

针对方式三，也可以使用$方式

select * from table where name like concat('%',${name},'%')

#{} 与${}对比总结

1、#{} 是预编译处理，mybatis在处理时，会将？替换为输入参数的值，然后调用PrepareStatement的set方法来赋值，传入字符串时，会在字符串的两端加上单引号，使用占位符的方式提高效率，防止SQL注入。
2、${}：表示SQL拼接，将接收到的参数内容不加任何修饰的拼接到SQL中，可能引起SQL注入。