防止mybatis中模糊匹配引起的sql注入
方法一:bind + #{} 模糊查詢 防止SQL注入 (#{}進行預編譯,傳遞的參數不進行編譯,只作爲參數,相當於PreparedStatement)
bind 元素可以從 OGNL 表達式中創建一個變量並將其綁定到上下文。比如:
<select id="selectBlogsLike" resultType="Blog"> <bind name="pattern" value="'%' + _parameter.getTitle() + '%'" /> SELECT * FROM BLOG WHERE title LIKE #{pattern} </select>