mybatis的模糊查询
方式一:
手动添加”%”通配符
- xml配置:
1
2
3
4
<!--模糊查询-->
<select id="fuzzyQuery" resultType="com.bin.pojo.Book">
select * from mybatis.book where bookName like #{info};
</select>
- 测试:
1
2
3
4
5
6
7
8
9
10
11
12
@Test
public void fuzzyQuery(){
SqlSession sqlSession = MybatisUtils.getSqlSession();
BookMapper mapper = sqlSession.getMapper(BookMapper.class);
List<Book> books = mapper.fuzzyQuery("%萨%");
for (Book book : books) {
System.out.println(book);
}
sqlSession.close();
}
说明:需要手动添加”%”通配符,显然这种方式很麻烦,并且如果忘记添加通配符的话就会变成普通的查询语句,匹配全部字符查询。
- 缺点:
- 麻烦
- 易出错
方式二:
在xml配置文件中添加”%”通配符,拼接字符串形式
1
2
3
<select id="fuzzyQuery" resultType="com.bin.pojo.Book">
select * from mybatis.book where bookName like '%${info}%';
</select>
说明:在mapper.xml配置文件中添加”%”通配符,但是需要用单引号将其包裹住,但是用单引号裹住之后#{}就无法被识别,要改成${}这种拼接字符串的形式。虽然通过方式二优化了方式一的缺点,但同时也造成了SQL安全性的问题,也就是用户可以进行SQL注入。
- 缺点:
- 不安全,可进行SQL注入
方式三:
在xml配置文件中添加”%”通配符,借助mysql函数
1
2
3
4
<select id="fuzzyQuery" resultType="com.bin.pojo.Book">
select * from mybatis.book where bookName like
concat('%',#{info},'%');
</select>
说明:解决了SQL注入且能在配置文件中写”%”通配符的问题,完美实现了模糊查询
- 优点:
- 安全
- 方便
方式四:
与方式三一样使用mysqk函数,但使的用是${}形式,不过需要用单引号包裹住
1
2
3
4
<select id="fuzzyQuery" resultType="com.bin.pojo.Book">
select * from mybatis.book where bookName like
concat('%','${info}','%');
</select>
总结:
- #{}是预编译处理,mybatis在处理#{}时,会将其替换成”?”,再调用PreparedStatement的set方法来赋值。
- ${}是拼接字符串,将接收到的参数的内容不加任何修饰的拼接在SQL语句中,会引发SQL注入问题。