1. 模糊查询时, 防止SQL注入
<select id="conditionQuery" parameterType="string" resultType="xx.xx.Entity">
select
*
from
table_name
where
<!--
当 parameterType 为简单 java 类型时,
${}中指定的值使用 "value" 可防止SQL注入
-->
conditionColName like ‘%${value}%‘
</select>
?
原文:http://gozs-cs-dn.iteye.com/blog/2213881