模糊查询解决sql语句注入问题的示例:
使用mysql中concat函数可以解决sql注入又能够在位置文件中写%,代码如下:
<select id = "selectByName" resultType= "cn.test.domain.Employee">select
id, emp_name as empName,
sex,email,birthday,address
from
t_employee
where
emp_name like concat(‘%‘,#{empName},‘%‘)
</select>