@Select("select * from product where pname like '%${word}%'") List<Product> search(@Param("word") String word);
取值使用$
参数前面加@Param注解,内容是server调用时候传参的名称。
但是众所周知,使用${}获取字段值存在sql注入风险
还是换成下面这种写法比较安全
1.@Select("<script> <bind name="wordLike" value="'%' + word + '%'" /> select * from product where pname like #{wordLike} </script>") List<Product> search(@Param("word") String word);
