Ibatis 的 模糊查询 SQL

最新推荐文章于 2022-01-26 15:12:03 发布
最新推荐文章于 2022-01-26 15:12:03 发布
阅读量4.5k 收藏 2
点赞数
分类专栏: Java/J2EE 文章标签: ibatis sql user jdbc xml

对于一条简单的sql语句,例如:

Select * from user where id=#id#

Ibatis会把sql预编译为

select * from user where id=?


接着会把传入的值进行填充,类似于 jdbc 的 preparestatment 的形式。
之前的sql是简单的形式,加入需要用到模糊查询的like就比较麻烦,而且可能会出现sql注入的情况。
假如需要查询用户名中带"sa"的用户,可能会这样来写 sql
 

select * from user where name like '%sa%'


但是在ibatis的xml中不能这样写,如果写成

select * from user where name like #%sa%# 或者 like %#sa#% 是肯定不行的,会有报错。

有个很简单的办法,就是写成


select * from user where name like '%$name$%'


的样子,$符号会把参数原样嵌入sql语句中而不进行预编译,这就使得有可能出现sql注入攻击。其实ibatis从根本上简单的说,凡是#的,都作为参数,用setobject方式预编译。而$方式的,则直接替换字符串。 所以说,$很不安全,会把用户的输入直接当参数放入 sql。


结论:最好不要用like来进行查询,1是因为效率低,2是因为在ibatis里使用是相当麻烦的,可读性很差,如果真的要用,不要使用$,而是使用#的like拼凑形式:

select * from user where name like '%'||#name#||'%';

 

DavidHsing
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
iBATIS模糊查询
07-23
iBATIS模糊查询
几种数据库在ibatis模糊查询方式
ahleilei的专栏
10-19 469
<br />oracle:select * from stu where name like '%'||#name #||'%'<br />          :select * from stu where name like '%'$name$'%'<br />mysql: select * from stu where name like concat('%',#name #,'%') <br />sqlserver: select * from stu where name like '%'+#na
ibatis分页组件分页
sqh1232008的专栏
08-19 373
Ibatis分页  实例查询分页ibtais  SQL语句 支持模糊查询后分页分页查询需要两条SQL语句第一部查询所有记录总数  &lt;select id="selectForCount-SysParam" resultClass="int"&gt;      &lt;![CDATA[          SELECT count(*) from PUB_SYSPARAM&lt;!--下面动态构成...
Mybatis数据库模糊查询
高朗的博客
09-09 734
Mybatis数据库模糊查询一、补充使用Map集合二、模糊查询 一、补充使用Map集合 Map传递参数,直接在sql中取出key即可------parameterType=“map” 对象传递参数,直接在sql中取对象的属性即可------parameterType=“object” 只有一个基本类型参数的情况下,可以直接在sql中去到 多个参数用map或者注解 mapper接口方法: int addUser2(Map<String,Object> map); mapper.x
Mybatis模糊查询的实现
yuluo的博客
01-26 127
Mybatis模糊查询的实现 模糊查询有两种实现方式 在java代码中给查询数据加上 % 在mapper文件sql语句的条件位置加上 % 第一种方式 dao方法 List<Student> selectLikeFirst(@Param("studentLikeName") String name); mapper文件 <!--执行like模糊查询的第一种方式--> <select id="selectLikeFirst" resultType="indi.yuluo.
iBatis 中 Like '%iBatis%' 的写法实现模糊查询
helloaq
08-19 273
摘自:http://hi.baidu.com/edmond80/blog/item/44b31afa42aef18b9f51467e.html   iBatis 开发指南告诉我们,当 Person 对象的 name 属性不为 null 时启用 name 查询条件在映射文件 person.xml 中的配置为 &lt;select id="getPersonsByName" resultClass=...
通过ibatis解决sql注入问题
08-29
主要介绍了通过ibatis解决sql注入问题,需要的朋友可以参考下
iBatis的动态SQL语句
03-13
iBatis最全的动态SQL语句,你需要的都有,资源在于大家共享
ibatis打印sql
03-21
NULL 博文链接:https://jelly-x.iteye.com/blog/968571
ibatis动态SQL标签用法
07-17
自己整理的非常好用 好东西向大家分享 └ ^o^ ┘
如何进行ibatis动态多条件组合查询以及模糊查询(oracle,mysql)
弘毅
11-13 263
这几天在学习使用IBATIS突然要使用模糊查询,以及动态多个条件查询,按照自己的想法试了很久,都没解决这个问题. 首先是模糊查询的问题,开始时我使用如下条件:select * from user where name like '%#value#%'. 可是怎么也不行,好像还报错了.后来在网上找到了解决方法,就是使用$来代替#号. 1>写成: like '%$value$%' 就可以了...
ibatis模糊查询的like '%$name$%'的sql注入避免
maidou_2011的专栏
09-27 9473
ibatis模糊查询的like '%$name$%'的sql注入避免。 在用ibatis进行模糊查询的时候很多同学习惯用like '%$name$%'的方式,其实这种方式会造成sql注入。ibatis对于$符号的处理是默认不加’‘号的,所以如果传入的参数是: 1'或者是1231%' or 1%' = '1这些形式就回造成注入危险。 解决是避免用like '%$name$%',可以进行字符的拼
IBatis模糊查詢
KissHope
07-22 188
  &lt;!--在ibatis中使用安全的拼接语句,动态查询ibatisJDBC的优势之一,安全高效说明文字在注释中--&gt; &lt;select id="selectAllProducts" parameterClass="Product" resultMap="ProductResult"&gt;     select id,note from Product     &lt;dyna...
ibatis中的模糊查询
qinjingkai的专栏
06-12 795
 主要说一下模糊查询时候xml文件的写法(数据库为oracle),其他的从略   &lt;select id="findSpForLikeQuery" resultMap="result"&gt;         select * from mps_sp_inf         &lt;dynamic prepend="WHERE"&gt;             &lt;isNotNul...
ibatis 中3种数据库的模糊查询方法
shawn
06-29 445
mysql: select * from stu where name like concat('%',#name #,'%')   oracle: select * from stu where name like '%'||#name #||'%'  SQL Server:select * from stu where name like '%'+#name #+'%
iBATIS介绍及简单示例
Kevin的程序人生
08-07 1708
介绍iBATIS是以SQL为中心的持久化层框架。能支持懒加载、关联查询、继承等特性。iBATIS不同于一般的OR映射框架。OR映射框架,将数据库表、字段等映射到类、属性,那是一种元数据(meta-data)映射。iBATIS则是将SQL查询的参数和结果集映射到类。 所以,iBATIS做的是SQL Mapping的工作。 它把SQL语句看成输入以及输出,结果集就是输出,而wher
iBatis 查询
oHeHeHou的专栏
01-05 1751
SqlMapClient的查询API: 1.从数据库中取出一条记录并且放到JAVA对象中 queryForObject(String id, Object parameter) throws SQLException; 参数: id:调用的sql语句 id parameter:查询传入的参数 只要需要返回的对象有默认构造函数, queryForObject 方法就能
ibatis中使用like模糊查询
weixin_33811539的博客
11-22 148
无效的方法: select * from table1 where name like '%#name#%' 两种有效的方法: 1) 使用$代替#。此种方法就是去掉了类型检查,使用字符串连接,不过可能会有sql注入风险。 select * from table1 where name like '%$name$%' 2) 使用连接符。不过不同的数据库中方式不同。...
IBATIS模糊查询语句的写法
程序员,从骨子里就有一种迎难而上的精神。
09-01 363
IBATISsql语句模糊查询的写法: 1,可以直接对like #param# 的参数传来之前进行修改,把传来的参数直接加上[code="java"]param = "%"+param+"%";[/code] 2,或者直接修改IBATISsql语句,修改如下: [code="java"] select * from table a where 1=1 a....
ibatis查询sql传参
最新发布
09-18
在使用iBatis进行查询时,可以通过不同的方式传递参数。 1. 使用命名参数:通过在SQL语句中使用“#{}”来引用命名参数,然后将参数传递给查询方法。例如,在SQL语句中可以写成“WHERE name=#{name}”,然后通过设置...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值