推荐写法
<select id="getByNameGood" parameterType="string" resultType="com.javaone.passmybatis.entity.Student">
select
s.age,
s.email,
s.id,
s.name
from
student s
where s.name like concat('%',#{name},'%')
</select>
使用like concat后就使用#{}的形式来占位了。
写法二
where s.name like concat('%',${name},'%')
这个其实也是可以的
差异分析
- #{}是预编译处理,mybatis在处理#{}时,它会将sql中的#{}替换为?,然后调用PreparedStatement的set方法来赋值,传入字符串后,会在值的两边加上单引号。使用占位符的方式提高效率,防止sql注入
- ${}:表示拼接sql串,将接收到的参数的内容不加修饰拼接在sql中,可能引发sql注入