各位大佬， mysql 中模糊查询 % 和 _这个特殊符号的有什么解决方法？传递特殊符号会有注入问题么？有的话一般怎么解决？

转义特殊字符
public static String escapeLikeValue(String value) {
//String[] SPECIAL_CHARACTERS = {"%", "_", "[", "]", "^"};
for (String str : SPECIAL_CHARACTERS) {
value = value.replace(str, "\\" + str);
}
return value;
}

Java 工具框架用多了， 我也向楼上一样 以为预编译的 sql 就能防御 mysql 的通配符。

不过 Mybatis 确实提供了 通配符的处理， 采用#{} 传的值已经被处理了，只有${} 才会出问题。

前两天刚刚遇到这种情况，做了 mybatis 的插件进行转义

我们用 Solr 实现所有查询，SQL 注入是不存在的

like concat('%',#{},'%')不会注入，用$的情况需要 escapeSql

1.%和_都是特殊字符，使用 escape 处理，具体搜 escape 用法。
2.其它语言不清楚，Go 用的原生 sql，值用？代替就可防止注入。

GO: 啥叫 SQL 注入…