在MyBatis中，您标记应在SQL中插入参数的位置，如下所示：

选择来自id = ＃{id}的人员*

此语法可激活适当的转义等，以避免SQL注入攻击。如果您拥有可靠的输入并且想跳过转义，则可以逐字插入参数：

SELECT * FROM {tableName} ID =＃{id}

现在，我想对不安全的输入执行LIKE搜索，所以我要做的是：

SELECT * FROM姓名为LIKE ＃{beginningOfName} ||的人 ‘％’

__但是， 不幸的是
，重要的数据库服务器不支持||串联语法：

MSSQL-使用’+’运算符而不是’||’破坏了标准。

…

MySQL-通过重新定义||严重违反了标准 表示“或”。

所以，我可以

选择来自名称为LIKE CONCAT（＃{beginningOfName}，’％’）的人员*

并仅限于这种情况下的MySQL，否则我可以做

SELECT * FROM姓名为 ‘{beginningOfName}％’的人员

并且必须自己清理输入内容。

有没有更优雅的解决方案？