关闭

模糊查询防注入

标签: java
117人阅读 评论(0) 收藏 举报
分类:

     关于模糊查询防注入,目前有两种解决方案:1.是采用:name like '%' || #name# || '%' 这种方式,但是使用的时候,考虑到索引问题,上面这种语句是不会走索引的,有时候会遇到检索不到数据奇怪的现象,所以不推荐。2.是在代码层做控制 :
  1. if (!StringUtil.isEmpty(this.companyName)) {  
  2.     table.setCompanyName("%" + this.companyName + "%");  
  1. <sql id="condition_where">  
  2.     <isNotEmpty property="companyName" prepend=" and ">  
  3.         t1.company_name like #companyName#  
  4.     </isNotEmpty>  
  5. </sql>  
推荐使用第二种方案。
0
0

查看评论
* 以上用户言论只代表其个人观点,不代表CSDN网站的观点或立场
    个人资料
    • 访问:7097次
    • 积分:284
    • 等级:
    • 排名:千里之外
    • 原创:19篇
    • 转载:0篇
    • 译文:4篇
    • 评论:2条
    文章分类
    最新评论