Mybatis 参数拼接 #{} 和 ${}

概述

在服务的使用"%"+target+"%"这种方式直接拼接到参数上面会有SQL注入的风险,但是在sql层面取拼接参数就不会。

mybatis拼接参数使用方式

like concat(concat("%",#{districtName}),"%")


版权声明:本文为Y920036515原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接和本声明。