查询关键字为% 和
查询关键字为%将数据都查询出来了,不安全.
对查询的特殊符号进行转译.
Java中转译
String queryText = "%";
if(StringUtil.isNotEmpty(queryText)){
//斜线本身需要转译,regex中两个\表示一个 ; Java中也是两个\表示一个;所以,需要四个斜线
queryText = queryText.replaceAll("%", "\\%");
System.out.println("--------------"+queryText);
}
SQL语句中转译
对特殊符号进行转译;斜杠本身也属于特殊符号,需要转译.
select * from t_user where loginacct like '%\%%'
mpper.xml文件拼接方式
<select id="queryCount" resultType="int">
SELECT COUNT(*)
FROM t_user
<where>
<if test="queryText != null">
loginacct like concat("%",#{queryText},"%")
</if>
</where>
</select>