現在以一個例子來介紹mybatis的動態SQL和模糊查詢：通過多條件查詢使用者記錄，條件為姓名模糊匹配，並且年齡在某兩個值之間。
　　
新建表d_user：

create table d_user(  
    id int primary key auto_increment,  
    name varchar(10),
    age int(3)
); 

insert into d_user(name,age) values('Tom',12);  
insert into d_user(name,age) values('Bob',13);  
insert into
 
 d_user(name,age) values('Jack',18);

建表成功：

新建實體類User：

public class User {
    private Integer id;
    private String name;
    private Integer age;

　　//getters and setters
　　
    @Override
    public String toString() {
        return "User [id=" + id + ", name=" + name + ", age=" + age + "]";
    }

    public
 
 User(Integer id, String name, Integer age) {
        super();
        this.id = id;
        this.name = name;
        this.age = age;
    }

    public User() {
        super();
    }
}

建立查詢條件實體類ConditionUser：

public class ConditionUser {
    private String name;
    private int minAge;
    private
 
 int maxAge;

　　//getters and setters
　　
    public ConditionUser(String name, int minAge, int maxAge) {
        super();
        this.name = name;
        this.minAge = minAge;
        this.maxAge = maxAge;
    }

    public ConditionUser() {
        super();
    }
}

新建對映檔案userMapper.xml：

<?xml version="1.0" encoding="UTF-8" ?>
<!DOCTYPE mapper PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN" "http://mybatis.org/dtd/mybatis-3-mapper.dtd">
<mapper namespace="com.mybatis.test7.userMapper">
    <select id="getUser" parameterType="ConditionUser" resultType="User">
        SELECT * FROM d_user WHERE age &gt;= #{minAge} AND age &lt;= #{maxAge}
        <if test="name!=null">
            AND name LIKE CONCAT(CONCAT('%',#{name}),'%')</if>
    </select>
</mapper>

編寫測試類：

public class Test {

    private SqlSessionFactory sessionFactory;
    private SqlSession session;

    @Before
    public void init(){
        //讀取配置檔案
        String resource = "conf.xml";
        InputStream is = this.getClass().getClassLoader().getResourceAsStream(resource);

        //建立SqlSessionFactory和SqlSession
        sessionFactory = new SqlSessionFactoryBuilder().build(is);
        session = sessionFactory.openSession();
    }

    @After
    public void free(){
        session.commit();
        session.close();
    }


    @org.junit.Test
    public void getUser() {
        String statement = "com.mybatis.test7.userMapper"+".getUser";
        ConditionUser conditionUser = new ConditionUser("o", 13, 18);
        List<User> list = session.selectList(statement, conditionUser);
        System.out.println(list);
    }
}

執行結果：

注意：
1. 在配置檔案中編寫sql語句時，為防止大於號和小於號在表示大小關係和表示標籤符號之間產生混淆，所以通常用&gt；和&lt；來代替sql語句中大於號和小於號。
2. 在SQL語句中新增動態SQL標籤if的原因是，當在後臺獲取的name屬性值為null時，防止生成where name like %null%的條件判斷語句，正確的邏輯應該是，當傳來的name屬性值為null時，取消此篩選條件，即不使用where name like ?的判斷條件。在mybatis中，可用的動態SQL標籤有：if，choose(when，otherwise)，trim(where,set)，foreach。
3. 在使用模糊查詢時，拼接%+#{name}+%的方法有如下幾種：

(1).像上述例子中一樣，在SQL語句中使用CONCAT關鍵字。

(2).使用${}代替#{}：

<?xml version="1.0" encoding="UTF-8" ?>
<!DOCTYPE mapper PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN" "http://mybatis.org/dtd/mybatis-3-mapper.dtd">
<mapper namespace="com.mybatis.test7.userMapper">
    <select id="getUser" parameterType="ConditionUser" resultType="User">
        SELECT * FROM d_user WHERE age &gt;= #{minAge} AND age &lt;= #{maxAge}
        <if test="name!=null">
            AND name LIKE '%${name}%'</if>
    </select>
</mapper>

注意，預設情況下，使用#{}語法，MyBatis會產生PreparedStatement語句，並且安全地設定PreparedStatement引數，這個過程中MyBatis會進行必要的安全檢查和轉義。例如：

執行SQL：select * from emp where name = #{employeeName}
引數：employeeName=>Smith
解析後執行的SQL：select * from emp where name = ？

執行SQL：Select * from emp where name = ${employeeName}
引數：employeeName傳入值為：Smith
解析後執行的SQL：Select * from emp where name =Smith

綜上所述，${}方式可能會引發SQL注入的問題，同時也會影響SQL語句的預編譯，所以從安全性和效能的角度出發，應儘量使用#{}。當需要直接插入一個不做任何修改的字串到SQL語句中，例如在ORDER BY後接一個不新增引號的值作為列名，這時候就需要使用${}。

(3).在程式中拼接。