mybatis构造查询语句
${} 这种是取值以后再去编译SQL语句,sql拼接符号,${} 替换结果不会增加单引号‘’,存在sql注入问题,需手动代码中过滤
and col='1'
<==>
AND ${tiaojianvalue2}like 拼接参数
使用CONCAT()函数连接参数形式
cpbm like concat('%',#{cpbm},'%')
#{} 这种取值是编译好SQL语句再取值,占位符号,可以防止sql注入(替换结果会增加单引号‘’)
2022-7-16
| 留言与评论(共有 0 条评论) “” |
