模糊查詢解決sql語句注入問題的示例:
使用mysql中concat函數可以解決sql注入又能夠在位置文件中寫%,代碼如下:
<select id = "selectByName" resultType= "cn.test.domain.Employee">select
id, emp_name as empName,
sex,email,birthday,address
from
t_employee
where
emp_name like concat(‘%‘,#{empName},‘%‘)
</select>
