常见容易犯错的写法:
select * from page_frame where title like ‘%$title$%‘
这样会引起SQL注入漏洞.
解决方法:
select * from page_frame where title like ‘%‘||#title#||‘%‘
注意:以上写法在oracle使用。
在mysql中,用这个: select * from page_frame where title like CONCAT(‘%‘,#title#,‘%‘)
在mssql中,用这个: select * from page_frame where ‘%‘+#name #+‘%
原文:http://www.cnblogs.com/zhw2016/p/5197466.html