未分类
2020-12-19 09:18:08
1822677238@qq.com
手机扫码查看
2020java框架教程之mybatis模糊查询和排序
1.模糊查询
需求:根据对方的用户名查询信息(模糊查询)
方式1:使用 #传参
<select id="selectUsersName" parameterType="string" resultMap="usersResultMap">
select *from users where username like #{username}
</select>
方式2:使用 $ 传参
<select id="selectUsersName2" parameterType="string" resultMap="usersResultMap">
select *from users where username like '%${value}%'
</select>
注意:当使用$传参时,如果参数是单值属性,并且只有一个参数,那么参数必须使用 value 占位
比较#和$的区别:
#{ }是预编译处理,MyBatis在处理#{ }时,它会将sql中的#{ }替换为?,然后调用PreparedStatement的set方法来赋值,传入字符串后,会在值两边加上单引号,使用占位符的方式提高效率,可以防止sql注入。
${}:表示拼接sql字符串,将接收到参数的内容不加任何修饰拼接在sql中,可能引发sql注入。
#是占位符?,$是字符串拼接。
因此使用$的时候,如果参数是字符串类型,那么要使用引号。
尽量使用#而不是$,当参数表示表名或列名的时候,只能使用$
不区分大小写
select*from users where lower(username) like lower('%${value}%')
解决字符串拼接产生sql注入
select*from users where username like concat('%','${value}','%')
2.排序
用户名排序
select*from users order by convert(${value} using gbk)
发表回复