mybatis学习之路----模糊查询实现

最新推荐文章于 2024-03-29 22:15:00 发布
最新推荐文章于 2024-03-29 22:15:00 发布
阅读量3.1k 收藏 10
点赞数 3
分类专栏: mybatis 文章标签: mybatis mybatis模糊查询 mybatis代码注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xu1916659422/article/details/77915468
版权

点滴记载,点滴进步,愿自己更上一层楼。


废话不多说,进入主题。

项目还是在上篇  mybatis学习之路----非代理方式的增删改查用法 基础之上进行开发


一个简单的模糊查询sql。

SELECT * FROM t_user WHERE username LIKE '%黄%'
根据以上sql,查询结果。


像这样的用到模糊查询的地方很多。下面来介绍mybatis的三种方式。


1 使用${}代替#{}接收参数。此种方式有sql注入风险。关于sql注入在下面会有实例演示。

2 使用mysql的concat语法给传入参数拼%号。即concat('%',param,'%').

3 直接接收带%号的参数进行查询  此种方式存在硬编码,不推荐。


在user.xml中添加如下信息。也就是上面三种方法的实现

    <!--模糊查询 demo1 直接用${} 接收参数 此种方式有sql注入的危险
    注意:如果parameterType为简单类型,最好写成${value}  写成别的很容易报错
              There is no getter for property named 'username' in 'class java.lang.String',
          如果parameterType为包装类型,和model中的属性对应即可-->
    <select id="findUserByName1" parameterType="String" resultMap="userMap">
        select * from t_user where username like '%${value}%'
    </select>

    <!--模糊查询 demo2 直接用concat拼字符串 此种可以有效防止sql注入 -->
    <select id="findUserByName2" parameterType="String" resultMap="userMap">
        select * from t_user where username like concat('%', #{username} ,'%')
    </select>

    <!--模糊查询 demo3 直接接收 拼好的参数  几接收参数就是 %参数% 形式,这种存在硬编码,不推荐 -->
    <select id="findUserByName3" parameterType="String" resultMap="userMap">
        select * from t_user where username like #{username}
    </select>

UserDao.java中添加对应的接口 

    /**
     * 模糊查询第一种方式
     * @param username 参数
     * @return
     */
    List<User> findUserByName01(String username);

    /**
     * 模糊查询第二种方式  使用concat拼接查询命令
     * @param username 参数
     * @return
     */
    List<User> findUserByName02(String username);

    /**
     * 模糊查询第三种方式  直接接收拼好的字符串
     * @param username 参数
     * @return
     */
    List<User> findUserByName03(String username);

对应的实现    UserDaoImpl.java 

    
    /**
     * 模糊查询第一种方式
     * @param username 参数
     * @return
     */
    public List<User> findUserByName01(String username) {
        String statementId = "test.findUserByName1";
        return findUserList(statementId,username);
    }

    /**
     * 模糊查询第二种方式  使用concat拼接查询命令
     * @param username 参数
     * @return
     */
    public List<User> findUserByName02(String username) {
        String statementId = "test.findUserByName2";
        return findUserList(statementId,username);
    }

    /**
     * 模糊查询第三种方式  直接接收拼好的字符串
     * @param username 参数
     * @return
     */
    public List<User> findUserByName03(String username) {
        String statementId = "test.findUserByName3";
        return findUserList(statementId,username);
    }

    /**
     * 由于都需要三种方式查询除了两个地方不一样其他的处理都相同,此处抽取相同部分
     * @param statementId
     * @param param
     * @return
     */
    private List<User> findUserList(String statementId, Object param){
        SqlSession sqlSession = null;
        try {
            sqlSession = SqlsessionUtil.getSqlSession();
            return sqlSession.selectList(statementId,param);

        } catch (Exception e) {
            e.printStackTrace();
        } finally {
            SqlsessionUtil.closeSession(sqlSession);
        }
        return new ArrayList<User>();
    }

基本实现已经完成,下面进行测试。

UserDaoTest.java  中添加对应的测试代码。

    @Test
    public void findUserByName01() throws Exception {
        List<User> users = dao.findUserByName01("黄");
        for(User user:users){
            System.out.println("findUserByName01:" + user);
        }
    }

    @Test
    public void findUserByName02() throws Exception {
        List<User> users = dao.findUserByName02("黄");
        for(User user:users){
            System.out.println("findUserByName02:" + user);
        }
    }

    @Test
    public void findUserByName03() throws Exception {
        // 此种方式存在硬编码,不推荐
        List<User> users = dao.findUserByName03("%黄%");
        for(User user:users){
            System.out.println("findUserByName03:" + user);
        }
    }
三种方法测试结果。





到此,三种实现模糊查询方式示例完毕。


上面写到使用${}来接收参数的时候,说有sql注入的风险。那么什么是sql注入呢?

sql注入传送门

其实简单来说,传入的参数中有一段有风险的并且可执行sql代码。如果没有规避掉,可能是系统直接瘫痪。下面进行演示。


测试代码findUserByName01使用的是${}来接收参数,即

    @Test
    public void findUserByName01() throws Exception {
        List<User> users = dao.findUserByName01("黄");
        for(User user:users){
            System.out.println("findUserByName01:" + user);
        }
    }
这段代码怎么sql注入呢?

如果将参数修改成带有可执行sql的参数即("4' or username in (select username from t_user) or username like '3")
其中有了  or username in (select username from t_user)   这个条件,sql执行结果就是全表数据显示。

修改后带有sql注入的java代码。

    @Test
    public void findUserByName01() throws Exception {
        List<User> users = dao.findUserByName01("黄' or username in (select username from t_user) or username like '3");
        for(User user:users){
            System.out.println("findUserByName01:" + user);
        }
    }
执行结果。

可以看到全表的数据都显示出来了。

想想如果注入的sql是删除语句的话。。。。。。

但是同样的带有sql注入代码的参数,放到findUserByName02中,结果大不相同。

    @Test
    public void findUserByName02() throws Exception {
        List<User> users = dao.findUserByName02("黄' or username in (select username from t_user) or username like '3");
        for(User user:users){
            System.out.println("findUserByName02:" + user);
        }
    }

结果:


这就是说为什么,不提倡${}的方式来写模糊查询,而推荐使用concat拼接方式来进行模糊查询了。



第一小菜鸟
关注
  • 3
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
mybatis的基础学习案例·
02-08
mybatis的入门案例的实现,连接数据库、利用配置文件对数据库进行增删改查、模糊查询的简单介绍等。
Javaweb期末设计项目-日记管理系统
01-05
实现的功能有,日记的增删改查(添加,批量删除,修改日记,分页查询,模糊查询,上传图片功能待开发…… 适用人群:开设了Javaweb课程的本科生 使用场景及目标:这份资源适用于Javaweb期末设计作业,也适合用于练习...
mybatis模糊查询语句及注意事项
qq_26514509的博客
04-28 885
<select id="queryCount" resultType="int"> select count(*) from t_user <where> <if test="queryText!=null">loginacct like concat("%",#{queryText},"%")</if> </where...
mybatis通配符(“%“,“_“)模糊查询、插入处理
橘生淮南
05-19 1499
Mybatis经常会使用like查询作为模糊匹配字符进行搜索匹配,但是对于"%“,”_"等特殊符号,会被识别成通配查询,插入的时候也会被识别成通配符,而导致插入失败,因此对于该类符号需要进行特殊处理。
Mybatis-各种查询功能
Sakurapaid的博客
03-29 1327
Mybatis中的各种查询语句
mybatis中四种模糊查询的方式
Adobe_java的博客
07-04 2万+
mybatis中的四种模糊查询的方式,并对每种方式都进行了分析
mybatis实现模糊查询的几种方式
现役码农的博客
08-20 1348
最近新项目使用mybatis作为ORM,由于之前都是使用hibernate, 对mybatis使用经验不多。到mybatis官网学习。 后面会多做这方面的总结,作为日后工作的参考。 今天要实现的时模糊查询。项目使用的时mysql,其他数据库可能需要修改。 1,使用concat方法 &lt;select id="getUserList" resultType="User"&gt; sel...
Mybatis模糊查询语句整理
fendo
08-22 1877
Mybatis模糊查询语句的几种写法: mysql: select * from tbl_school where school_name like concat('%',#{name},'%')      oracle: select * from tbl_school where school_name like '%'||#{name}||'%'      SQL Serv
MyBatis实现动态查询、模糊查询功能
08-27
MyBatis是一款非常流行的ORM框架,它提供了强大的数据库交互功能,今天我们就来学习如何使用MyBatis实现动态查询和模糊查询功能。 动态查询 动态查询是指根据不同的条件生成不同的SQL语句,以满足不同的查询需求。...
通过MyBatis动态SQL完成数据库表的增、删、改、查、模糊查询..zip
最新发布
04-28
mybatis动态sql 1.什么是动态SQL? Mabits是一个Java持久化框架,它提供了动态SQL的功能。动态SQL是一种根据不同条件动态生成SQL语句的技术。在Mabits中,动态SQL通常是通过使用一组特殊的标签和代码块来实现的,...
基于SpringBoot+Mybatis实现的旅游信息分享网站源码+项目说明.zip
10-26
基于SpringBoot+Mybatis实现的旅游信息分享网站源码+项目说明.zip 项目介绍: 旅游信息分享网站是基于SpringBoot+Mybatis+Thymeleaf开发,网站前台提供各类旅游信息的分类展示与广告推送,为用户提供登录注册功能,...
Mybatis模糊查询的四种方式
海崽的博客
09-07 3245
Mybatis模糊查询的四种方式 1、根据姓名模糊查询员工信息 1.1、方式一 步骤一:编写配置文件 步骤二:测试 步骤三:分析 此种方式需要在调用处手动的去添加“%”通配符。 1.2、方式二 说明: 使用方式一可以实现模糊查询,但是有一点不方便的地方就是:在测试类中,调用selectList()方法传参时需要调用者手动的添加%号通配符,显然是麻烦的,能否在映射配置文件中直接将%号写好呢? 有的朋友可能会这么想,好办,直接在配置文件中这么写:形如1: 测试后发现,程序会报错,原因是:缺少单引号。 这个
使用MyBatis进行模糊查询时%到底写哪儿的解决办法
Marvel__Dead 胡艺宝的博客
04-14 4657
介绍感觉以前不会想,看了别人用才知道。。。*_*哭成泪人了。。。解决办法在我们以前写sql语句的时候,我们通常是这样写的。SELECT * FROM user WHERE username LIKE #{likeUser}我们在Java代码中我们是这样传值的:%FireLang%到现在才知道,这种写法太有耦合度了,代码写得太丑了!!*\_/*难看的脸。sql语句不能够在Java代码中出现,我们要做的
搭建MyBatis框架之模糊查询
m0_71166223的博客
03-15 73
搭建MyBatis框架之模糊查询
Mybatis第三讲 (模糊查询 输入输出映射 )
Rockandrollman的博客
07-10 303
模糊查询 需求:按照输入的用户名进行模糊匹配 模糊查询 面试题: (1) 在Mybatis中#{}和${}的区别 #{}代表占位符 ${value}代表拼接 引起sql注入的问题,不安全;${}中的参数名只能写value (2) 实体类中的属性都是私有化的,外界是不允许直接调用的,那么为什么在映射文件中可以直接写属性名? 映射文件中在使用对应实体类中的属性时,其实是通过其对应的get方法来获取值的 <select id="queryUserLikeName" parameterType="java
Mybatis的sql语句中下划线_,百分号%的转义处理---escape的作用
热门推荐
杨杨得懿的博客
05-11 3万+
escape 是sql中的关键字,定义转义字符。如下:SELECT * FROM student t where t.name like '%/%' escape '/';执行结果为:SELECT * FROM student t where t.name like '%%' escape '/';执行结果为:注:由此可见,escape '/' 是指用'/'说明在/后面的字符不是通配符,而是普通符...
模糊查询(通过真实测试例子来查询)
MaNong_girl的博客
10-06 849
实体类 @Data publicclassUserInfo{ privateStringname; } mapper层 @Mapper publicinterfaceUserInfoMapper{ List<UserInfo>byName(Stringname); } mapper.xml(resources目录下) <?xmlversion="1.0"encoding="UTF-8"?>...
mysql中的模糊查询
yanguo110的博客
08-03 2578
原文链接:http://www.cnblogs.com/cyttina/p/3894428.html 1.  参数中直接加入%%   param.setUsername("%CD%");       param.setPassword("%11%"); select id,sex,age,username,password from person where true
mybatis入参模糊查询
08-29
MyBatis中,可以使用%符号实现模糊查询。然而,直接使用%可能会引发SQL注入的问题。为了同时解决模糊查询和SQL注入的问题,可以借助MySQL的函数和MyBatis的bind标签来实现。 首先,可以使用MySQL的CONCAT()函数将多个字符串连接成一个字符串。在MyBatis的映射文件中,可以使用该函数来实现模糊查询。例如,可以使用以下语句实现模糊查询: SELECT * FROM t_role WHERE role_name LIKE CONCAT('%',#{keyword},'%') OR id LIKE CONCAT('%',#{keyword},'%') OR role_type LIKE CONCAT('%',#{keyword},'%') 另外,还可以使用MyBatis的bind标签来定义一个变量,并将模糊查询的字符串赋值给该变量。然后,在查询语句中使用该变量来实现模糊查询。例如,可以使用以下语句实现模糊查询: <bind name="pattern" value="'%' + keyword + '%'" /> SELECT * FROM t_role WHERE role_name LIKE #{pattern} OR id LIKE #{pattern} OR role_type LIKE #{pattern} 需要注意的是,在使用bind标签时,要使用${...}来引用变量,而不是使用#{...}。这是因为#{...}会将传入的参数作为字符串参数处理,而${...}会将传入的参数直接替换到SQL语句中。 综上所述,可以通过使用MySQL的函数和MyBatis的bind标签来实现MyBatis的入参模糊查询。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [SSM框架的学习与应用-Java EE企业级应用开发学习记录(第五天)MyBatis的注解开发](https://download.csdn.net/download/m0_53659738/88258800)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 33.333333333333336%"] - *2* [MyBatis模糊查询的4种实现方式](https://blog.csdn.net/shadow_zed/article/details/107929621)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 33.333333333333336%"] - *3* [MyBatis模糊查询多种写法](https://blog.csdn.net/qq_45802158/article/details/127183382)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 33.333333333333336%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值