iBATIS关键字like查询优化与MySQL/SQLServer适配

在操作数据库时，iBATIS作为Java开发中的一个重要持久层框架，其SQL查询语句的编写尤其关键。本文主要关注的是如何在iBATIS中正确处理LIKE关键字的查询，特别是当涉及到模糊匹配时，如搜索姓氏以“张”开头的学生。 iBATIS的`<select>`标签用于定义SQL查询，其核心在于如何使用参数化查询来防止SQL注入攻击。原始的想法是直接使用`<#>`符号将参数与SQL语句合并，例如： ```xml <select id="showOneStudentByName" parameterClass="String" resultMap="studentORM"> select * from t_stu where s_name like #name# </select> ``` 然而，这种方法的问题在于当在调用时传递参数时，需要在参数前后添加百分号，这既不优雅也不安全。iBATIS推荐使用`||`运算符将占位符与百分号连接起来，以确保动态拼接的SQL语句不受恶意输入影响： ```xml <select id="showOneStudentByName" parameterClass="String" resultMap="studentORM"> select * from t_stu where s_name like '%' || #name# || '%' </select> ``` 调用时无需手动添加百分号： ```java List<Student> students = sqlMapper.queryForList("Student.showOneStudentByName", name); ``` 此外，值得注意的是，不同的数据库可能使用不同的字符串连接符。对于Oracle数据库，`||`是常用的，但在MySQL中，应该使用`CONCAT`函数： MySQL示例： ```sql <select id="showOneStudentByName" parameterClass="String" resultMap="studentORM"> select * from t_stu where s_name like CONCAT('%', #name#, '%') </select> ``` 而在SQL Server中，可以使用`+`或`N'%' + `（对于非Unicode字符串）： ```sql <select id="showOneStudentByName" parameterClass="String" resultMap="studentORM"> select * from t_stu where s_name like N'%' + #name# + '%' </select> ``` 使用iBATIS进行数据库操作时，理解并掌握如何正确处理SQL查询语句的动态构建，包括使用参数化查询、适配不同数据库的连接符，以及避免SQL注入攻击，是提高代码质量和安全性的重要步骤。同时，熟练运用文档和网络资源也是提升效率的关键。