Mybatis的sql映射语句写法

最新推荐文章于 2022-08-05 21:07:29 发布
最新推荐文章于 2022-08-05 21:07:29 发布
阅读量1.1k 收藏
点赞数
分类专栏: 【SSM】 文章标签: mybatis sql sql注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/CSDN_Terence/article/details/103389404
版权

mybatis模糊查询 Like

Mybatis模糊查询like语句有几种拼写方式:  

<select id="query" resultMap="ManualResultMap" parameterType="Map">
        SELECT a.*, b.client_name
        FROM publish a
        LEFT JOIN client b
        ON a.client_code = b.client_code
        WHERE 1=1
        <if test="null != adClient">
            and a.ad_client = #{adClient}
        </if>
        <if test="null != product">
            and a.product = #{product}
        </if>
        <if test="null != pageNo and null != pageSize">
            limit #{pageNo},#{pageSize}
        </if>
</select>

    1.使用#{} 。  因为#{ }解析成sql语句时候,把变量默认为字符串,会在变量外侧自动加单引号'  ',所以这里 % 需要使用双引号"  ",不能使用单引号 '  ',不然会查不到任何结果

<if test="null != product">
    and a.product like "%"#{product,jdbcType=VARCHAR}"%"
</if>

  即sql为:and a.product like ‘%美汁%’

     2.使用${ } 。 直接将参数显示注入到sql中,弊端:可能引起sql注入问题。不建议使用。

<if test="null != product">
    and a.product like '%${product}%'
</if>

即:传入变量“美汁”时,对应的sql为:and a.product like ‘%美汁%’

当传入的变量为“美汁%’ or 1=1 or a.product like ‘%你好 ”,sql会直接注入从参数,显示为:

        and a.product like ‘美汁%’ or 1=1 or a.product like ‘%你好’ 

此时,sql语句的意思已经发生变化,这种现象叫做sql注入问题,所以一般不建议使用${}

       3.使用concat(a,b,c) 。使用函数连接sql语句。        

<if test="null != product">
   and a.product like CONCAT('%',#{product,jdbcType=VARCHAR},'%')        
</if>

SQL注入问题

什么是sql注入

       所谓sql注入就是web后台应用程序存在安全漏洞,在输入的字符串中嵌入sql指令,缺乏字符检查的程序将这些字符串误认为是正常的sql指令,利用这些sql指令执行数据库操作,可能严重破坏数据库。

举个例子

        mybatis中使用${}时,会直接注入显示变量,容易出现sql注入问题,使用#{},则将变量作为字符串处理,会自动为变量添加双引号,不易出现sql注入,较为安全。

        有的应用程序喜欢直接抛异常,web页面上显示sql语句错误详情,这都很容易让人猜到背后执行的sql语句。比如这样的一句错误:“Syntax error (missing operator) in query expression 'username = 'admin'' AND password = 'admin'''.”

        很容易猜到:这是一个登陆账号的sql查询语句:select * from  user  where username=? and password=?

        如果后台使用${}来接受sql变量:当页面账号和密码都输入“admin' or '1”时:对应的sql则变成:

        select * from [users] where username=’admin’ or ‘1’ and password=’admin’ or ‘1’ 

        这句sql就变成永远成立,可以查出来账号密码信息。

         这就是一个典型的sql注入问题。

如何防备Sql注入

       输入验证:检查输入变量内容的合法性。

       错误信息处理:包装内部异常信息和错误信息,不要直接显示给别人看,错误信息显示在日志中自己看就可以了。

       数据加密:利用不常用的加密算法或盐值对数据加密。

       使用存储过程执行查询

 

Terence Jing
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
MyBatis 结果映射总结
m0_67698950的博客
05-24 2897
前言 结果映射指的是将数据表中的字段与实体类中的属性关联起来,这样 MyBatis 就可以根据查询到的数据来填充实体对象的属性,帮助我们完成赋值操作。其实 MyBatis 的官方文档对映射规则的讲解还是非常清楚的,但考虑到自己马上就会成为一名 SQL Boy,以后免不了经常跟 SQL 打交道(公司使用的也是 MyBatis),所以希望用更加通俗的语言对官方文档所介绍的常用映射规则做一个总结,既为刚入门的同学提供一个参考,也方便自己以后查阅。本文会结合一些常见的应用场景,并通过简单的示例来介绍不同...
mybatis知识点分析之sql映射语句
BruceShi的博客
12-14 2084
sql映射文件 mybatis最强大的低于就在于sql映射语句mybatis专注于sql,对于开发人员来说,可以最大限度地调优,保证性能。 1.Mapper:映射文件的根节点,只有一个属性namespace(命名空间)       作用:(1)用于区分不同的mapper,全局唯一。                  (2)绑定Dao接口,即面向接口编程,当绑定一个接口,就不需要编写该接口...
Mybatis映射文件的sql编写合集(由简入难)
尤词的博客
08-05 557
mybatis查询
MyBatis中Mapping.xml核心标签的解读
xlecho的博客
09-15 1124
声明:该文章摘抄自:https://mybatis.org/mybatis-3/zh/sqlmap-xml.html,主要用于整理记录方便下一次直接使用,尊重原创,如有侵权联系博主,即可删除(QQ1280023003) XML 映射文件 MyBatis 的真正强大在于它的映射语句,这是它的魔力所在。由于它的异常强大,映射器的 XML 文件就显得相对简单。如果拿它跟具有相同功能的 J...
mybatis 中关于jdbcType=VARCHAR
热门推荐
gjklop的博客
02-11 2万+
看到网上很多大牛的mybatis xml代码 其中取值 都加上#{filter,jdbcType=VARCHAR} 一直很好奇。查询了一下 一些资料说是: 引用MyBatis 插入空值时,需要指定JdbcType mybatis insert空值报空值异常,但是在pl/sql不会提示错误,主要原因是mybatis无法进行转换, 所以一般在insert语句中insert的对象加上jdbcType就可...
对于mybatis查询结果返回类型的理解
wang091413的博客
05-23 6598
这两天一直在纠结resultType与resultMap的使用场景的问题,当然也因为自己之前学的不扎实的原因,导致在做练手项目的时候不理解这里为什么要使用resultType,那里为什么要使用resultMap,看了很多博客,但是没有理解到其中的精髓,今天认真翻了翻直接写的mapper.xml文件,大概根据里面的信息总结了一下:1.resultType的使用场景一般是在单表查询的时候,如果只是单表...
mybatis多表联查sql语句
weixin_42465206的博客
03-06 2649
//一对一关联查询,以订单为中心关联用户 mapper.xml 定义返回结果集 orders属性含有user对象 &amp;lt;resultMap id=&quot;order&quot; type=&quot;pojo.Orders&quot;&amp;gt; &amp;lt;id property=&quot;id&quot; column=&quot;id&quot;/&amp;gt;
MyBatis中的模糊查询语句
08-31
MyBatis中,我们可以直接在XML映射文件中编写SQL语句来实现模糊查询。例如,给出的代码片段展示了如何进行模糊查询: ```xml select material_id,material_num,material_name,material_type,material_model,id ...
mybatis自动生成映射.rar
09-17
在 MySQLSQL Server 这两种数据库之间,自动映射的原理基本一致,主要区别在于 SQL 语句写法和数据库特定的函数支持。MyBatis 具有良好的数据库兼容性,可以轻松切换不同的数据库。 这个压缩包可能包含以下...
关于MyBatis10种超好用的写法(收藏)
08-18
MyBatis的trim标签可以用来实现SQL语句的拼接。它可以根据条件是否成立来拼接不同的SQL语句。 例如,以下示例演示如何使用trim标签来查询用户列表: ```xml SELECT * FROM entity != null"> name LIKE concat...
详解MyBatis批量插入数据Mapper配置文件的写法
08-30
MyBatis是一个轻量级的Java持久层框架,它允许开发者将SQL语句直接写在配置文件中,方便地进行数据库操作。在某些场景下,比如数据导入、定时任务等,批量插入数据的需求非常常见。这篇文章将详细讲解如何在MyBatis...
MyBatis传入集合 list 数组 map参数的写法
09-02
这些参数通常用于构建动态SQL,特别是当需要在`IN`语句中使用多个值时。下面将详细解释如何在MyBatis中使用这些参数类型。 1. **List参数**: 当传入的参数是一个List时,`<foreach>`标签的`collection`属性应设置...
Mybatis中resultMap标签解释
帅成一匹马
05-23 4414
表单: javaBean: package com.pojo; public class Product { private String orderId; private String product; } package com.domain; import java.util.List; public class Order { private String ...
mybatis的xml中内部类的映射写法
It_BeeCoder的博客
03-13 1237
1. B类是A类中的内部类。 2.  映射写法: com.XXX.A$B , 注意A类和B类之间用 $ 表示内外关系,而不是常用的 .点号。
Mybatis】探究已映射SQL 语句
爱写bug的王六六
10-10 381
创建xml文件(mapper文件), 写sql语句mybatis框架推荐是把sql语句和java代码分开 mapper文件:定义和dao接口在同一目录, 一个表一个mapper文件。 <?xml version="1.0" encoding="UTF-8" ?> <!DOCTYPE mapper PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN" "http://mybatis.org/dtd/mybatis-3-ma
MyBatis关于映射SQL语句的总结
lovoLi2015的博客
03-27 590
MyBatis最强大的功能就是映射语句,实现了对JDBC的封装,通过映射语句完成了CQUD的操作。以下为常用语句的总结: 1.INSERT、UPDATE、DELETE语句。有几个主要的属性如下:id属性(唯一的可以被其他引用的标识符,一般为对应的接口方法的方法名);parameterType(参数类型,若未设置别名则为全路径);useGeneratedKeys(仅限insert标签属性,默认为f
探究已映射SQL 语句
Sorananger的博客
10-18 397
现在你可能很想知道 SqlSession 和 Mapper 到底执行了什么操作,但 SQL 语句映射是个相当大的话题,可能会占去文档的大部分篇幅。 不过为了让你能够了解个大概,这里会给出几个例子。 在上面提到的例子中,一个语句既可以通过 XML 定义,也可以通过注解定义。我们先看看 XML 定义语句的方式,事实上 MyBatis 提供的全部特性都可以利用基于 XML 的映射语言来实现,这使得 MyBatis 在过去的数年间得以流行。如果你以前用过 MyBatis,你应该对这个概念比较熟悉。 不过自那以后,
MyBatis映射语句
农夫的博客
11-12 1291
MyBatis映射语句
AspectJ 学习笔记
此处省略三千字
02-19 1万+
       学习完AspectJ有段时间了,总体感觉这个编程语言简单易学、功能强大,但是搜到的关于AspectJ的基础内容比较少,so,笔者感觉有必要整理出这部分内容,若有不当之处,欢迎指正共同学习☺ 内容:AspectJ概念,和AOP的区别,@AspectJ的配置,Advice的配置,Introduction的配置       (源码:testSpring)               ...
mybatislike的写法
最新发布
08-29
Mybatis中,可以使用三种方式进行模糊查询的拼接,具体如下所述: 1. 使用“${...}”的写法,语法为“like '${...}'”,这种写法直接将参数拼接到SQL语句中。例如,如果想要进行以某个关键字开头的模糊查询,可以使用类似于“like '${keyword}%'"的写法。 2. 使用“#{...}”的写法,语法为“like '#{...}'”,这种写法会将参数作为预处理语句的参数进行处理。例如,如果想要进行以某个关键字结尾的模糊查询,可以使用类似于“like CONCAT('%', #{keyword})”的写法。 3. 使用CONCAT函数连接参数的写法,语法为“like CONCAT('%',#{...},'%')”。这种写法将参数使用CONCAT函数进行连接,可以在模糊查询时更加灵活地组合多个参数。 需要注意的是,如果在使用Mybatis进行模糊查询时出现类似于"org.apache.ibatis.reflection.ReflectionException: There is no getter for property named 'VARCHAR' in 'class com.utry.ucsc.dao.bean.KnowledgeLibraryBean'"的异常,可能是由于在实体类中缺少名为'VARCHAR'的属性所导致的。查看实体类的属性是否正确命名与映射即可解决这一问题。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [Mybatis 中 Oracle 的拼接模糊查询及用法详解](https://download.csdn.net/download/weixin_38565221/12756821)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *2* *3* [mybatis模糊查询like语句怎么写](https://blog.csdn.net/knight5172/article/details/119942234)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值