Ibatis 占位符使用注意

最新推荐文章于 2020-04-15 10:19:07 发布
最新推荐文章于 2020-04-15 10:19:07 发布
阅读量912 收藏
点赞数
文章标签: ibatis sql table
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/CHINA__MAN/article/details/7922058
版权

IbatIS sql 参数传递中,sqlMap.xml中占位符可以使用两种:分别为#id#  和 $id$

#号占位符会自动在参数两边加上逗号。$号直接把参数替换。

然而#号占位符不只是加上了 引号这么简单,使用占位符#,ibatIS在执行sql语句之前会先把 sql语句 设置为预编译语句,例如 select * from table_a where id=?

最后把参数id传入,这样就防止了sql注入的发生。

如果使用$号占位符就会发生sql注入的发生,所以要避免使用 $号占位符。

然而怎么样使用like 模糊搜索呢?

解决办法为

1.在所传入的参数中使用SQL通配符

2.要搜索内容的文本必须是能够被参数化的SQL表达式的一部分。例如:'%'||#value#||'%'

3.改为使用替代语法(用$作占位符)

 

sadhfiasdf
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ibatis使用指南
05-30
使用`@Param`注解指定参数名,配合`#{}`占位符,可以实现复杂的参数传递。比如: ```java User getUser(@Param("id") int userId, @Param("name") String userName); ``` 8. **结果集映射** 结果集映射允许将...
ibatis使用
05-29
4. **Parameter Mapping**:Ibatis支持两种参数映射方式:占位符(#{})和索引(${})。占位符方式更安全,可以防止SQL注入;而索引方式适用于动态SQL构造。 5. **Result Mapping**:结果映射用于将数据库查询结果...
ibatis实战之使用内联参数--用#做占位符
fhd001的专栏
07-09 233
ibatis实战之使用内联参数--用#做占位符 ----------   内联参数就是一种在已映射语句中添加查询条件的简单方式,你可以使用两个不同的方法来设置内联参数。 第一个方法是使用散列(#)符号。以下的例子就使用#符号传递进一个简单的内联参数,以通过accountId值来获取一个唯一的Account bean:   <select accountId, username...
ibatis占位符$与#区别
lipeng的博客
07-14 269
ibatis占位符$与#区别: 1、$使用的是Statement(拼接字符串)#使用的是PreparedStatement(类似于与编译,然后setLong,setString之类的方法来设置参数值) 2、前者容易出现SQL注入之类的安全问题等等,所以ibatis推荐使用#(其实就是封装jdbc的PreparedStatement),不过开发过程中使用$方便调试。正式发布的时候就该用# ...
iBatis简单入门教程
03-04 275
iBatis 简介: iBatis 是apache 的一个开源项目,一个O/R Mapping 解决方案,iBatis 最大的特点就是小巧,上手很快。如果不需要太多复杂的功能,iBatis 是能够满足你的要求又足够灵活的最简单的解决方案,现在的iBatis 已经改名为Mybatis 了。 官网为:http://www.mybatis.org/ 搭建iBatis 开发环境: 1
IBatis如何获取解析后的SQL语句和占位符参数
我的IT博客
01-06 473
 获取IBatis中指定SQLID的SQL解析结果(根据传入参数解析后的SQL语句和占位符参数数组)   SqlMapClient本身是没有方法获取SQL的解析结果的,必须将SqlMapClient对象强制转换成SqlMapClientImpl类型,然后传入SQLID和参数就可以获取到了,具体如下代码(sqlId为要解析的SQL对应的ID,params为传入的参数):     SqlMa...
mybatis中#和$符号的区别
weixin_34384915的博客
07-19 352
mybatis做为一个轻量级ORM框架在许多项目中使用,因其简单的入门受到了广大开发者的热爱。在近期项目中再做一个相关的开发,碰到了#、$符号这样的问题,之前没怎么注意过,通过学习之后,有了点感悟,分享如下, #{} 使用#{}意味着使用的预编译的语句,即在使用jdbc时的preparedStatement,sql语句中如果存在参数则会使用?作占位符,我们知道这种方式可以防止sql注入,并且...
后台管理系统采用IBatis逻辑分页导致SQL慢查询问题
java界的小学生
04-03 989
后台管理系统采用IBatis逻辑分页导致SQL慢查询问题 ibatis一词来源于internet和abatis的组合,是一个由Clinton Begin在2001年发起的开放源代码项目。于2010年6月16号被谷歌托管,改名为MyBatis。是一个基于SQL映射支持Java和.NET的持久层框架。 ibatis优点 半自动化 “半自动化”的ibatis,却刚好解决了这个问题。这里的“半自动化”,是...
Ibatis高级使用讲解
10-30
`#{}`是Ibatis的参数占位符,它会将用户对象的属性值注入到SQL语句中。 在Web程序中,我们可以从HttpServletRequest中获取表单数据,并将其设置为查询参数: ```java user.setName(request.getParameter("name"));...
iBATIS SQLMap
01-03
- 根据方法参数,iBATIS会动态地生成SQL语句,包括处理条件判断、占位符替换等。 - 然后,iBATIS使用数据源建立与数据库的连接,并执行SQL语句。 - 最后,将执行结果映射成Java对象,返回给调用者。 4. **实际...
iBATIS中的单元测试
03-04
单元测试已经成为了现代软件开发方法中的一个非常重要的组成部分。即使不赞成极限编程(eXtremeProgramming,XP)或者其他敏捷方法能够带来好处,单元测试也应该成为你的软件开发生命周期中的一个基础实践。从概念上说,持久层可以分为3层,而iBATIS使得对这些不同的层进行单元测试都变得非常简单,如图13-1所示。对映射层所进行的单元测试,可能是在大部分应用程序中所发生的最低层次的单元测试了。此过程包括对SQL语句以及这些语句所映射到的领域对象进行测试。这意味着我们将需要一个用于进行测试的数据库实例。测试用数据库实例可能是创建于你实际使用的数据库管理系统(例如,Oracle或者微软的SQ
iBATIS实战
11-13
4.2.2 使用内联参数(用$做占位符) 71 4.2.3 SQL注入简介 72 4.2.4 自动结果映射 73 4.2.5 联结相关数据 74 4.3 映射参数 75 4.3.1 外部参数映射 75 4.3.2 再论内联参数映射 76 4.3.3 基本类型参数 78 4.3.4 JavaBean...
ibatis实战之使用内联参数--用$做占位符
fhd001的专栏
07-09 144
ibatis实战之使用内联参数--用$做占位符 ----------     使用内联参数的另一种方式就是使用替代($)语法,它可以用来把值直接插入到SQL语句之中(在SQL语句被转变为参数化语句之前)。但是使用这种方式时要非常小心,因为它可能使你暴露给SQL注入,另外过度使用还可能造成性能问题。 以下是一种在ibatis中处理LIKE运算符的方法示例:   <select i...
Ibatis 之 $ & #
ALL TECHNOLOGIES ARE CLOUDS
09-19 196
  Ibatis 之 $ & #  在Ibatis中我们使用SqlMap进行Sql查询时需要引用参数,在参数引用中遇到的符号#和$之间的区分为,#可以进行与编译,进行类型匹配,而$不进行数据类型匹配,例如: select * from table where id = #id# ,其中如果字段id为字符型,那么#id#表示的就是'id'类型,如果id为整型,那么#id#就是id类型...
ibatis 中动态SQL查询和动态标签嵌套的使用
热门推荐
断桥残雪的博客
05-09 2万+
ibatis 动态查询 对于从事 Java EE 的开发人员来说,iBatis 是一个再熟悉不过的持久层框架了,在 Hibernate、JPA 这样的一站式对象 / 关系映射(O/R Mapping)解决方案盛行之前,iBaits 基本是持久层框架的不二选择。即使在持久层框架层出不穷的今天,iBatis 凭借着易学易用、轻巧灵活等特点,也仍然拥有一席之地。尤其对于擅长 SQL 的开发人员来说,i...
iBatis中#和$占位符的区别
个人技术博客
04-25 2295
iBatis中#和$占位符的区别
Mybatis中占位符详解
tpf1070527713的博客
04-15 2470
在mybatis中有两种占位符,一种是#{},另一种是${},name这两种占位符有什么区别呢? #{}解析传递进来的参数数据 ${}对传递进来的参数原样拼接在SQL中 #{}的SQL是这样的: ==> Preparing: select T_Id, T_direction, T_courses, T_contents, T_teacher, T_class_type, T_rema...
ibatis的in函数的使用
用程序感知生活
08-14 1103
最近遇到工作中需要用到ibatis中的in函数,如果是固定的数据,则 在sql中直接 in (1,2,3,4)直接使用即可,或者在Java代码中使用StringBuilder 或StringBuffer进行拼接即可 在ibatissql.xml 中 一种是通过占位符 $  的方式 String sheetid =“1,2,3,4,5”;如果是int类型,则需要用convert进行转换
这样子获取到的sql是没有解析过占位符sql,是带?的,有没有办法获取到解析后的sql
最新发布
07-11
要获取解析后的SQL语句,可以使用MyBatis提供的`org.apache.ibatis.mapping.BoundSql`类的`getSql`方法。这个方法返回的是已经解析过占位符SQL语句。 在拦截器中,可以通过`MappedStatement`对象获取到`BoundSql`对象,然后使用`getSql`方法获取解析后的SQL语句。以下是修改后的代码示例: ```java public class MyInterceptor implements Interceptor { @Override public Object intercept(Invocation invocation) throws Throwable { // 获取原始的MappedStatement对象 MappedStatement mappedStatement = (MappedStatement) invocation.getArgs()[0]; // 获取SQL语句类型 SqlCommandType sqlCommandType = mappedStatement.getSqlCommandType(); // 判断是否为delete语句 if (sqlCommandType == SqlCommandType.DELETE) { // 获取BoundSql对象 BoundSql boundSql = mappedStatement.getBoundSql(invocation.getArgs()[1]); // 获取解析后的SQL语句 String sql = boundSql.getSql(); // 在执行delete方法之前的操作 System.out.println("Before executing delete method"); System.out.println("Delete SQL: " + sql); } // 执行原始的delete方法 Object result = invocation.proceed(); // 在执行delete方法之后的操作 System.out.println("After executing delete method"); return result; } @Override public Object plugin(Object target) { return Plugin.wrap(target, this); } @Override public void setProperties(Properties properties) { // 设置拦截器的属性 } } ``` 通过这种方式,你可以获取到已经解析过占位符SQL语句。记得将拦截器配置到MyBatis的配置文件中,并替换示例中的`com.example.MyInterceptor`为你实际的拦截器类的全限定名。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值