![](https://pics7.baidu.com/feed/d043ad4bd11373f0df94e8c74615b6fefaed04db.jpeg?token=0525a7bec37b03b846772cd6751c65da&s=4AA63A624EB437B35F046DDF01005062)
1、根据姓名模糊查询员工信息
1.1、方式一
步骤一:编写配置文件
![](https://pics0.baidu.com/feed/fd039245d688d43f88767c3a96042f1e0ff43b3f.jpeg?token=f1a7af32a16a79d81bf5f0806d814bc8&s=05B8E4329FE84C0354DD25DE000080B2)
步骤二:测试
![](https://pics4.baidu.com/feed/503d269759ee3d6d35014766a10c90274e4ade7d.jpeg?token=03e7823be8dade5f21da85bebc68f92c&s=D800EC1291D84DC012FC25DE0000C0B2)
步骤三:分析 此种方式需要在调用处手动的去添加“%”通配符。1.2、方式二
说明: 使用方式一可以实现模糊查询,但是有一点不方便的地方就是:在测试类中,调用selectList()方法传参时需要调用者手动的添加%号通配符,显然是麻烦的,能否在映射配置文件中直接将%号写好呢? 有的朋友可能会这么想,好办,直接在配置文件中这么写:形如1:
![](https://pics5.baidu.com/feed/91529822720e0cf37d86cc9fe85c0f1abe09aa06.jpeg?token=6fa759983578b3d75a5a126555afe78a&s=11B06C328DE84C0106C571DC0000D0B2)
测试后发现,程序会报错,原因是:缺少单引号。
这个时候,有朋友可能会这样想了,那干脆加一个“单引号”不就得了,形如2:
形如2:
![](https://pics3.baidu.com/feed/d439b6003af33a878de92f172446ed3d5243b5d3.jpeg?token=f7e242c5cce00946b9e6b776b6ee7549&s=35BA6C338DE94C0346CDE1DC000090B2)
测试后发现,程序依然会报错,原因是:如果加上单引号,那么就当成是一个字符串,而#{ }写在字符串中不能识别,要改写成${ }这种形式。
即:形如3
形如3
![](https://pics0.baidu.com/feed/11385343fbf2b211aa02fcf3289a983d0cd78e7b.jpeg?token=60f124d2328427c73bec3c03e9bda42a&s=09A07D3289E9400946E5F1D80000C0B3)
分析: 通过使用“$”也可以实现。但是通过$的方式拼接的sql语句,不再是以占位符的形式生成sql,而是以拼接字符串的方式生成sql,这样做带来的问题是:会引发sql注入的问题。1.3、方式三
说明:通过前两种写法,虽然可以解决模糊查询的问题,但是还是不好,因为通过%的方式会引发sql注入的问题,现在的期望是:既能够解决sql注入又能在配置文件中写%该如何实现呢,可以借助mysql的函数。步骤一:编写映射文件
![](https://pics2.baidu.com/feed/1b4c510fd9f9d72a21a70a413630d531359bbb4f.jpeg?token=d8358f1ca0c0b0dceba925cd7bf317d3&s=11B26C328FB84C0146C541C8000050B2)
步骤二:测试 此步骤省略,比较简单。1.4、方式四
说明: 当然对于方式三,也可以使用$,不过需要特别留意单引号的问题。步骤一:编写配置文件
![](https://pics7.baidu.com/feed/0bd162d9f2d3572c94266a6968099e2263d0c364.jpeg?token=47a91682d360b0b3842c3e1bccca2b2b&s=01F07D32BBE8400946C541C8000050B2)
步骤二:测试 该步骤省略。2、总结
#{ }是预编译处理,MyBatis在处理#{ }时,它会将sql中的#{ }替换为?,然后调用PreparedStatement的set方法来赋值,传入字符串后,会在值两边加上单引号,使用占位符的方式提高效率,可以防止sql注入。${}:表示拼接sql串,将接收到参数的内容不加任何修饰拼接在sql中,可能引发sql注入。