概述
在服务的使用"%"+target+"%"这种方式直接拼接到参数上面会有SQL注入的风险,但是在sql层面取拼接参数就不会。
mybatis拼接参数使用方式
like concat(concat("%",#{districtName}),"%")
版权声明:本文为Y920036515原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接和本声明。
在服务的使用"%"+target+"%"这种方式直接拼接到参数上面会有SQL注入的风险,但是在sql层面取拼接参数就不会。
mybatis拼接参数使用方式
like concat(concat("%",#{districtName}),"%")