iBATIS教程之like语句的写法浅析

最新推荐文章于 2023-04-22 21:18:13 发布
最新推荐文章于 2023-04-22 21:18:13 发布
阅读量372 收藏
点赞数 1
分类专栏: ibatis 模糊查询 文章标签: sql注入 ibatis oracle
iBatis 开发指南告诉我们,当 Person 对象的 name 属性不为 null 时启用 name 查询条件在映射文件 person.xml 中的配置为 
<select id="getPersonsByName" resultClass="com.unmi.Person">       
    select id as id,name as name,passwd as passwd from person       
    <dynamic prepend="WHERE">       
        <isNotNull prepend="AND" property="name">       
              (name like #name#)       
        </isNotNull>       
    </dynamic>       
</select><span style="font-family: Arial, Verdana, sans-serif; background-color: rgb(255, 255, 255);">     </span>
再用如下的代码调用
  1. Person person = new Person();       
  2. person.setName("unmi");       
  3. List list = sqlMap.queryForList("getPersonsByName", person);     
执行效果翻译成 sql 语句就是
  1. select * from person where name like 'unmi'   
select * from person where name like 'unmi' 
这实际上是一个完全匹配的查询,与用等号写成如下语句是一致的
  1. select * from person where name = 'unmi'   
select * from person where name = 'unmi' 
我们之所以要用 like 谓词,一般都想实现模糊查询,比如说 name 以 'unmi' 开始、结束或包含 'unmi' 的记录,如下
  1. select * from person where name like 'unmi%';   
  2. select * from person where name like '%unmi';   
  3. select * from person where name like '%unmi%';   
也就是如上的 like 语义在 person.xml中应该怎么表述呢?我曾经是想当然的尝试把
(name like #name#) 写成    (name like '%#name#%')    或 (name like %#name#%) ,都没法通过,分别报错
java.sql.SQLException: Invalid argument in JDBC call: parameter index out of range: 1

java.sql.SQLException: Unexpected token: % in statement [     select id......
那么正确的写法是什么呢?在网上找到一个解答方法有两种:
1. 是把上面 (name like '%#name#%') 的 # 换成 $, 也就是 (name like '%$name$%')
2. 是用 || 连接字符串的方式,写成 (name like '%' || #name# || '%')
但却不能写成 (name like '%'||$name$||'%') ,不能又要出错
java.sql.SQLException: Column not found: UNMI in statement [select id......
总结一下,在 iBatis 中用 like 的模糊查询的配置如下(两种方式)
  1. <select id="getPersonsByName" resultClass="com.unmi.Person">  
  2.       select id as id,name as name,passwd as passwd from person   
  3.         <dynamic prepend="WHERE">  
  4.             <isNotNull prepend="AND" property="name">  
  5.                   (name like '%$name$%')   
  6.                 <!-- (name like '%'||#name#||'%') -->  
  7.             </isNotNull>  
  8.     </dynamic>  
  9. </select>  
不知细心的诸位注意到没有,这同时也是我在组织上面文字时产生的疑问:
1. 写成 (name like '%'||$name$||'%') 为什就不行呢?# 和 $ 有什么区别呢?
2. 还有明明是写成的 unmi,为什么报错的时候又是全大写的 UNMI 呢?
具体的异同我们可能还需从源代码中找,简单的只要知道,$name$ 是字面意义的替换,这种形式要注意 SQL 注入的漏洞;#name# 是带类型的替换。至于unmi被转换成大写,还需再研究研究,对于以上两个疑问必要时还可以发挥一下。也要权衡一下花那个时间值不值。
附:
为了防止SQL注入,iBatis模糊查询时也要避免使用$$来进行传值。下面是三个不同数据库的ibatis的模糊查询传值。

mysql: select * from stu where name like concat('%',#name #,'%') 
 
oracle: select * from stu where name like '%'||#name #||'%'  
SQL Server:select * from stu where name like '%'+#name #+'% 
wangjunjun8987
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
iBATIS教程之快速入门浅析
04-27
iBATIS教程iBATIS初学者需要掌握什么内容呢?那么这篇文章就会告诉你。
Spring数据库访问之iBatis
03-04
相对于Hibernate等ORM框架的全自动SQL,那么iBatis则属于半自动化的ORM框架,我们需要编写SQL语句,由iBatis进行数据库访问,返回结果。而iBatis可以为我们做的更多,比如对查询结果的封装等等。虽然不如全自动SQL...
iBatis 中 Like '%iBatis%' 的写法实现模糊查询
helloaq
08-19 273
摘自:http://hi.baidu.com/edmond80/blog/item/44b31afa42aef18b9f51467e.html   iBatis 开发指南告诉我们,当 Person 对象的 name 属性不为 null 时启用 name 查询条件在映射文件 person.xml 中的配置为 &lt;select id="getPersonsByName" resultClass=...
ibatis配置中like的写法
hellohubin的专栏
05-17 677
ibatis配置中like的写法 (2012-01-29 15:57:37) 转载▼ 标签: ibatis、like 分类: java &lt;!-- 正文开始 --&gt; iBATIS教程之like语句的使用我们可以先看看网上搜了一下iBATIS的关于like的使用select * from USERS where USER_NAME like...
mysql ibatis like_iBatis 中 Like 的写法实现模糊查询
weixin_34518190的博客
01-19 181
iBatis开发指南告诉我们,当Person对象的name属性不为null时启用name查询条件在映射文件person.xml中的配置为select id as id,name as name,passwd as passwd from person(name like #name#)再用如下的代码调用Personperson=newPerson();person.s...
ibatis 简介
weixin_33795743的博客
05-28 121
      相对Hibernate和Apache OJB等“一站式”ORM解决方案而言,ibatis是一种“半自动化”的ORM实现。      所谓“半自动”,可能理解上有点生涩。纵观目前主流的ORM,无论Hibernate还是Apache OJB,都对数据库结构提供了较为完整的封装,提供了从POJO到数据库表的全套映射机制。程序员往往只需定义好了POJO到数据库表的映射关系,即可通过Hibern...
ibatis入门教程_ibatis入门教程_源码
10-02
ibatis入门教程
ibatis视频教程.rar
04-06
ibatis视频教程
iBatis习惯用的16条SQL语句
09-01
iBatis 是apache 的一个开源项目,一个O/R Mapping 解决方案,iBatis 最大的特点就是小巧,上手很快.这篇文章主要介绍了iBatis习惯用的16条SQL语句的相关资料,需要的朋友可以参考下
ibatis中的like语句写法
大树下那片阴凉
10-28 4722
 网上搜了一下ibatis的关于like的使用select * from USERS where USER_NAME like %wang%;这种like语句ibatis中怎么写,项目是用ibatis作为持久层的框架。select * from t_stu where s_name like #name#这样写显然不行在调用中需要在参数的前后加上%,比如这样: return sq
ibatis模糊查询
浮生若梦
07-02 136
           模糊查询(实体类映射文件配置): &lt;select id="selectStudentByName" parameterClass="String" resultClass="Student"&gt; select sid, sname, major, birth, score from Student where sn...
ibatis 非空判断 相等判断 模糊查询 集合查询 and or联合嵌套查询
SHUYANSAMA的博客
08-12 1313
版权归作者所有,任何形式转载请联系作者。 最近开始着手写后台,因为要在DAO层加一个逻辑判断,接触到了新的内容iBaTIS,这里记录一下。终于可以写不用担心涉密的公共技术了,心情好激动的说  判断是否为空<isNotEmpty> 例:<isNotEmpty prepend="and" property="acceptimes"> ACCEPTIMES = #acceptimes:DECIMAL# ...
ibatis mysql like_ibatis mysql like 模糊查询 % / _ ' 等特殊字符处理
weixin_35838394的博客
01-19 280
在做单元测试的时候,发现输入%号模糊查询时,Ibatis的查询语句返回了所有记录,并没有返回预期的结果,没有返回包含%的相关记录。所以需要对特殊的字符进行特殊处理,将其转义,查询时通过escape 关键字进行过滤:public static String escapeChar = "/";/*** iBATIS 处理模糊查询时, 将 / % _ 等特殊字符进行转义,以防止查询出所有文件列表。* ...
org.apache.ibatis.annotations.Select @select 中使用like
marsxiaogai的博客
10-19 6100
org.apache.ibatis.annotations.Select @select 中使用like 语句是String 类型的参数 已经要记得在变量的前后加上%%,否则查询的数据为空. 深坑。
mybatis模糊查询以及结果封装详解
m0_56245143的博客
04-22 1650
resultMap 标签可以建立查询的列名和实体类的属性名称不一致时建立对应关系。从而实现封装。在 select 标签中使用 resultMap 属性指定引用即可。同时 resultMap 可以实现将查询结果映射为复杂类型的 pojo,比如在查询结果映射对象中包括 pojo 和 list 实现一对一查询和一对多查询。
IBatis模糊查询
weixin_34280237的博客
12-14 553
IBatis模糊查询 补充: mysql中模糊查询的四种用法:1,%:表示任意0个或多个字符。可匹配任意类型和长度的字符,有些情况下若是中文,请使用两个百分号(%%)表示。比如 SELECT * FROM [user] WHERE u_name LIKE '%三%'将会把u_name为“张三”,“张猫三”、“三脚猫”,“唐三藏”等等有...
ibatis中使用like模糊查询
张三的博客,As a Developer
04-08 2692
1.问题 select * from t_comment where content LIKE '%#keyword#%' 提示:Parameter index out of range (x > number of parameters, which is y.),x、y为数字 2.解决 参考http://www.cnblogs.com/gaojing/archive/2013/
ibatis的like关键字用法小结
ness1981的博客
05-31 190
        前天,有朋友问我,select * from T_STUDENT where S_NAME like '张%';这种like语句ibatis中怎么写,他们现在的项目是用ibatis作为持久层的框架。         我的第一反应是这样写: &lt;select id="showOneStudentByName" parameterClass="String" resultMa...
mybatislike的写法
最新发布
08-29
1. 使用“${...}”的写法,语法为“like '${...}'”,这种写法直接将参数拼接到SQL语句中。例如,如果想要进行以某个关键字开头的模糊查询,可以使用类似于“like '${keyword}%'"的写法。 2. 使用“#{...}”的写法,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值