ㄓㄤㄑㄧㄤ

mybatis 模糊查询和<![CDATA[ ]]>的作用

1. sql中字符串拼接

   SELECT * FROM tableName WHERE name LIKE CONCAT(CONCAT('%', #{text}), '%');

 

2. 使用 ${...} 代替 #{...} (不能防止sql注入 #{}---> 可以防止sql注入的问题)

   SELECT * FROM tableName WHERE name LIKE '%${text}%'; 

 

3. 程序中拼接

   Java

   // or String searchText = "%" + text + "%";

   String searchText = new StringBuilder("%").append(text).append("%").toString();

   parameterMap.put("text", searchText);

 

   SqlMap.xml

   SELECT * FROM tableName WHERE name LIKE #{text};

 

<![CDATA[ ]]> 标记避免Sql中与xml规范相冲突的字符对xml映射文件的合法性造成影响

如:<![CDATA[price_from >= #{price_from}]]>

posted @ 2015-08-12 17:30  ㄓㄤㄑㄧㄤ  阅读(4461)  评论(0编辑  收藏  举报
哈哈,页脚部分。