开门见山的说,平时写模糊查询,一直用${name},例如:
select * from table where name like '%${name}%'
后来知道了,这样写可能会引发sql注入,于是乎,要用到这样一个标签 bind,经过改正上面的sql可以变成
<bind name="bindeName" value="'%'+name+'%'"/>
SELECT * FROM table where name like #{bindeName}
大致就上面这个意思,不要在意一些细节。就相当于在bind标签中的value值中,把需要的字符拼接好,然后用name中的值去代替拼接好的参数。
这个用法同样用于一些防止更换数据库的sql中。例如:
concat标签,在mysql中,可以拼接多个字符,但是如果有一天,你的数据库突然变成了oracle,concat就会报错了,因为它只能接受两个参数。
这个时候,bind同样适用,如下:
开始的时候:
<if test=” userName != null and userName ! = ””> and username like concat ( '1',#{userName},'2' ) </if>
可以改成:
<if test=” userName != null and userName !=””> <bind name= " userNameLike ” value = ”'1'+ userName + '2'”/> and username like #{userNameLike} </if>