直接写成 like ‘%#{house.areaName}%‘ 就当成是一个字符串,而#{ }写在字符串中不能识别,要改写成${ },这样可能会引发sql注入问题,不够安全,所以采用contact拼接的方式最佳。
一开始我以为mysql跟oracle的contact一样里面只能有两个参数,但其实mysql可以有多个。
即concat(’%’,concat(#{house.areaName},’%’))可以写成concat(’%’,’#{house.areaName}’, ‘%’ )
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)