1. sql中字符串拼接
SELECT * FROM tableName WHERE name LIKE CONCAT(CONCAT(‘%‘, #{text}), ‘%‘);
2. 使用 ${...} 代替 #{...} (不能防止sql注入 #{}---> 可以防止sql注入的问题)
SELECT * FROM tableName WHERE name LIKE ‘%${text}%‘;
3. 程序中拼接
Java
// or String searchText = "%" + text + "%";
String searchText = new StringBuilder("%").append(text).append("%").toString();
parameterMap.put("text", searchText);
SqlMap.xml
SELECT * FROM tableName WHERE name LIKE #{text};
<![CDATA[ ]]> 标记避免Sql中与xml规范相冲突的字符对xml映射文件的合法性造成影响
如:<![CDATA[price_from >= #{price_from}]]>
原文:http://www.cnblogs.com/azhqiang/p/4725011.html