Mybatis的sql映射语句写法

最新推荐文章于 2021-10-18 16:06:33 发布
最新推荐文章于 2021-10-18 16:06:33 发布
阅读量1.1k 收藏
点赞数
分类专栏: 【SSM】 文章标签: mybatis sql sql注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/CSDN_Terence/article/details/103389404
版权

mybatis模糊查询 Like

Mybatis模糊查询like语句有几种拼写方式:  

<select id="query" resultMap="ManualResultMap" parameterType="Map">
        SELECT a.*, b.client_name
        FROM publish a
        LEFT JOIN client b
        ON a.client_code = b.client_code
        WHERE 1=1
        <if test="null != adClient">
            and a.ad_client = #{adClient}
        </if>
        <if test="null != product">
            and a.product = #{product}
        </if>
        <if test="null != pageNo and null != pageSize">
            limit #{pageNo},#{pageSize}
        </if>
</select>

    1.使用#{} 。  因为#{ }解析成sql语句时候,把变量默认为字符串,会在变量外侧自动加单引号'  ',所以这里 % 需要使用双引号"  ",不能使用单引号 '  ',不然会查不到任何结果

<if test="null != product">
    and a.product like "%"#{product,jdbcType=VARCHAR}"%"
</if>

  即sql为:and a.product like ‘%美汁%’

     2.使用${ } 。 直接将参数显示注入到sql中,弊端:可能引起sql注入问题。不建议使用。

<if test="null != product">
    and a.product like '%${product}%'
</if>

即:传入变量“美汁”时,对应的sql为:and a.product like ‘%美汁%’

当传入的变量为“美汁%’ or 1=1 or a.product like ‘%你好 ”,sql会直接注入从参数,显示为:

        and a.product like ‘美汁%’ or 1=1 or a.product like ‘%你好’ 

此时,sql语句的意思已经发生变化,这种现象叫做sql注入问题,所以一般不建议使用${}

       3.使用concat(a,b,c) 。使用函数连接sql语句。        

<if test="null != product">
   and a.product like CONCAT('%',#{product,jdbcType=VARCHAR},'%')        
</if>

SQL注入问题

什么是sql注入

       所谓sql注入就是web后台应用程序存在安全漏洞,在输入的字符串中嵌入sql指令,缺乏字符检查的程序将这些字符串误认为是正常的sql指令,利用这些sql指令执行数据库操作,可能严重破坏数据库。

举个例子

        mybatis中使用${}时,会直接注入显示变量,容易出现sql注入问题,使用#{},则将变量作为字符串处理,会自动为变量添加双引号,不易出现sql注入,较为安全。

        有的应用程序喜欢直接抛异常,web页面上显示sql语句错误详情,这都很容易让人猜到背后执行的sql语句。比如这样的一句错误:“Syntax error (missing operator) in query expression 'username = 'admin'' AND password = 'admin'''.”

        很容易猜到:这是一个登陆账号的sql查询语句:select * from  user  where username=? and password=?

        如果后台使用${}来接受sql变量:当页面账号和密码都输入“admin' or '1”时:对应的sql则变成:

        select * from [users] where username=’admin’ or ‘1’ and password=’admin’ or ‘1’ 

        这句sql就变成永远成立,可以查出来账号密码信息。

         这就是一个典型的sql注入问题。

如何防备Sql注入

       输入验证:检查输入变量内容的合法性。

       错误信息处理:包装内部异常信息和错误信息,不要直接显示给别人看,错误信息显示在日志中自己看就可以了。

       数据加密:利用不常用的加密算法或盐值对数据加密。

       使用存储过程执行查询

 

Terence Jing
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
MyBatis中Mapping.xml核心标签的解读
xlecho的博客
09-15 1047
声明:该文章摘抄自:https://mybatis.org/mybatis-3/zh/sqlmap-xml.html,主要用于整理记录方便下一次直接使用,尊重原创,如有侵权联系博主,即可删除(QQ1280023003) XML 映射文件 MyBatis 的真正强大在于它的映射语句,这是它的魔力所在。由于它的异常强大,映射器的 XML 文件就显得相对简单。如果拿它跟具有相同功能的 J...
mybatis 中关于jdbcType=VARCHAR
热门推荐
gjklop的博客
02-11 2万+
看到网上很多大牛的mybatis xml代码 其中取值 都加上#{filter,jdbcType=VARCHAR} 一直很好奇。查询了一下 一些资料说是: 引用MyBatis 插入空值时,需要指定JdbcType mybatis insert空值报空值异常,但是在pl/sql不会提示错误,主要原因是mybatis无法进行转换, 所以一般在insert语句中insert的对象加上jdbcType就可...
对于mybatis查询结果返回类型的理解
wang091413的博客
05-23 6596
这两天一直在纠结resultType与resultMap的使用场景的问题,当然也因为自己之前学的不扎实的原因,导致在做练手项目的时候不理解这里为什么要使用resultType,那里为什么要使用resultMap,看了很多博客,但是没有理解到其中的精髓,今天认真翻了翻直接写的mapper.xml文件,大概根据里面的信息总结了一下:1.resultType的使用场景一般是在单表查询的时候,如果只是单表...
Mybatis中resultMap标签解释
帅成一匹马
05-23 4411
表单: javaBean: package com.pojo; public class Product { private String orderId; private String product; } package com.domain; import java.util.List; public class Order { private String ...
mybatis的xml中内部类的映射写法
It_BeeCoder的博客
03-13 1227
1. B类是A类中的内部类。 2.  映射写法: com.XXX.A$B , 注意A类和B类之间用 $ 表示内外关系,而不是常用的 .点号。
mybatis自动生成映射.rar
09-17
在 MySQLSQL Server 这两种数据库之间,自动映射的原理基本一致,主要区别在于 SQL 语句写法和数据库特定的函数支持。MyBatis 具有良好的数据库兼容性,可以轻松切换不同的数据库。 这个压缩包可能包含以下...
关于MyBatis10种超好用的写法(收藏)
08-18
MyBatis的trim标签可以用来实现SQL语句的拼接。它可以根据条件是否成立来拼接不同的SQL语句。 例如,以下示例演示如何使用trim标签来查询用户列表: ```xml SELECT * FROM entity != null"> name LIKE concat...
详解MyBatis批量插入数据Mapper配置文件的写法
08-30
MyBatis是一个轻量级的Java持久层框架,它允许开发者将SQL语句直接写在配置文件中,方便地进行数据库操作。在某些场景下,比如数据导入、定时任务等,批量插入数据的需求非常常见。这篇文章将详细讲解如何在MyBatis...
MyBatis传入集合 list 数组 map参数的写法
09-02
这些参数通常用于构建动态SQL,特别是当需要在`IN`语句中使用多个值时。下面将详细解释如何在MyBatis中使用这些参数类型。 1. **List参数**: 当传入的参数是一个List时,`<foreach>`标签的`collection`属性应设置...
Mybatis增删改查mapper文件写法详解
08-31
MyBatis 中,Mapper 文件是实现数据操作的关键部分,主要用于编写 SQL 语句并将其映射到 Java 方法上。以下是对 MyBatis 增删改查 (CRUD) 的 Mapper 文件写法的详解: 1. 插入(Insert) 插入操作在 Mapper 文件...
探究已映射SQL 语句
Sorananger的博客
10-18 392
现在你可能很想知道 SqlSession 和 Mapper 到底执行了什么操作,但 SQL 语句映射是个相当大的话题,可能会占去文档的大部分篇幅。 不过为了让你能够了解个大概,这里会给出几个例子。 在上面提到的例子中,一个语句既可以通过 XML 定义,也可以通过注解定义。我们先看看 XML 定义语句的方式,事实上 MyBatis 提供的全部特性都可以利用基于 XML 的映射语言来实现,这使得 MyBatis 在过去的数年间得以流行。如果你以前用过 MyBatis,你应该对这个概念比较熟悉。 不过自那以后,
Hibernate使用注解,继承映射写法
focusぃclouds
08-19 5411
继承映射在 Annotation 中使用 @Inheritance 注解,并且需要使用 strategy 属性指定继承策略,继承策略有 SINGLE_TABLE、TABLE_PER_CLASS 和 JOINED 三种。 一、SINGLE_TABLE SINGLE_TABLE 是将父类和其所有的子类集合在一块,存在一张表中,并创建一个新的字段来判断对象的类型。 Person.j
mybatis三种映射方式
qq_17690301的博客
01-18 6736
mybatis有三种映射ORM的方式:纯xml文件映射,基于xml的接口映射以及基于注解的接口映射 以一个例子来说明:这里有一个商品类Product(映射到表product_),类均放在包com.pojo下 Product类 public class Product { int id; String name; float price; public int getId() { ...
MyBatis 映射文件之 SQL 写法总结
一线大码
12-20 911
文章目录1. SQL语句1.1. SELECT1.2. INSERT1.2.1. 返回自增主键1.2.2. 提前生成主键1.3. UPDATE1.4. DELETE2. SQL 片段3. 参数使用3.1. 参数传递3.1.1. 单个简单类型参数3.1.2. 单个 JavaBean 参数3.1.3. 单个 Map 参数3.1.4. 多个参数3.1.5. 注解参数(推荐使用)3.2. 参数属性4.2.1. javaType3.2.2. jdbcType3.2.3. numericScale3.2.4. type
自学java之MybatisPlus,再也不用写sql
codebeef的博客
06-10 9944
MybatisPlus 简介 mybatisplus是什么? MyBatis-Plus(简称 MP)是一个 MyBatis 的增强工具,在 MyBatis 的基础上只做增强不做改变,为简化开发、提高效率而生。 mybatisplus特性: 无侵入:只做增强不做改变,引入它不会对现有工程产生影响,如丝般顺滑 损耗小:启动即会自动注入基本 CURD,性能基本无损耗,直接面向对象操作 强大的 CRUD 操作:内置通用 Mapper、通用 Service,仅仅通过少量配置即可实现单表大部分 CRUD 操作,更有
Mybatis框架下SQL注入漏洞处理
aosica321的专栏
02-23 1万+
来源:http://www.open-open.com/lib/view/open1474963603800.html            http://mp.weixin.qq.com/s?__biz=MjM5OTk2MTMxOQ==&mid=2727827368&idx=1&sn=765d0835f0069b5145523c31e8229850&mpshare=1&scene=1&srci
mybatis 的一些sql映射写法
xdy1120的博客
06-24 577
select属性: <select   id=”selectPerson”   parameterType=”int”   parameterMap=”deprecated”   resultType=”hashmap”   resultMap=”personResultMap”   flushCache=”false”   useCache=”true”   timeout=”10000”...
MybatisSqlSession 实例来直接执行已映射SQL 语句的2种方式
林高禄
10-13 6349
官网说明 举例介绍 第一种:直接执行已映射SQL 语句(不推荐) 第二种:使用和指定语句的参数和返回值相匹配的接口(推荐) 官网说明 在Mybatis中,SqlSession 实例来直接执行已映射SQL 语句,有2种方式 下面我们就举例演示一下 举例介绍 第一种:直接执行已映射SQL 语句(不推荐) 通过命名空间+xml里的sql的相关id来直接调用,这种方式不需要dao层,直接通过xml配合即可 执行结果 这种方.
MyBatisSQL注入
猎户星座
12-05 662
一、Mybatis SQL注入防护原理 sql注入大家都不陌生,是一种常见的攻击方式,攻击者在界面的表单信息或url上输入一些奇怪的sql片段,例如“or ‘1’=’1’”这样的语句,有可能入侵参数校验不足的应用程序。所以在我们的应用中需要做一些工作,来防备这样的攻击方式。在一些安全性很高的应用中,比如银行软件,经常使用将sql语句全部替换为存储过程这样的方式,来防止sql注入,这当然是一种很安...
mybatislike的写法
最新发布
08-29
1. 使用“${...}”的写法,语法为“like '${...}'”,这种写法直接将参数拼接到SQL语句中。例如,如果想要进行以某个关键字开头的模糊查询,可以使用类似于“like '${keyword}%'"的写法。 2. 使用“#{...}”的写法,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值