回顾前文,UserMapper.xml的mapper内容如下:
<mapper namespace="UserMapper">
<select id="selectUserById" parameterType="Integer" resultType="com.zzz.bean.User">
select * from user where u_id = #{id}
</select>
<select id="selectUserByName" parameterType="String" resultType="com.zzz.bean.User">
select * from user where u_username like '%${value}%'
</select>
</mapper>
#{}是占位符,如果参数传递的是1,最终sql语句会替换为 ‘1’ ;
${}是字符串拼接,如果参数传递的是1,最终sql语句还是替换为 1 ,这容易导致sql注入漏洞。
所以我们尽量选择#{}来解决问题。
那我们修改下上面的模糊搜索语句:
<select id="selectUserByName" parameterType="String" resultType="com.zzz.bean.User">
select * from user where u_username like "%"#{name}"%"
</select>
换成占位符的时候,%必须用双引号包裹,单引号不行,为什么我也不知道。
扩充:%表示0个或多个字符。
