StringBuilder prepareSql = new StringBuilder("SELECT ID,COMMAND,DESCRIPTION,CONTENT FROM message WHERE 1=1"); //不要使用SELECT *，数据库引擎还要去解析列名，效率会低
if(command != null && !"".equals(command.trim())){//如果传入的参数存在并且不为空字符串
    prepareSql.append(" AND COMMAND='"+command+"'");
}
if(description != null && !"".equals(description.trim())){
    prepareSql.append(" AND DESCRIPTION LIKE '%"+description+"%'");
}

可以使用，我就是这样用的，是没问题的。

目前还没看出来这两种方式孰优孰劣，只不过只要涉及到SQL语句的拼接都得小心谨慎。

1. 首先展示列表的时候不需要参数

2. 添加动态参数也是为了一个方法可以实现全部列表和查询列表
   

动态传参