如果开发中遇到模糊查询 sqlmap中用like concat('%',#name#,'%')防止sql注入。
如果使用'%$name$%'可能导致sql注入成功,因为$$会直接拼接属性值到sql,而不是使用占位符