mybatis中使用like通配符抛出异常

最新推荐文章于 2024-04-19 11:37:46 发布
最新推荐文章于 2024-04-19 11:37:46 发布
阅读量411 收藏
点赞数
分类专栏: javaee 数据库 文章标签: mybatis mybatis#和$
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/JohnLeeK/article/details/102504825
版权

一,业务场景再现

今天在处理一个问题的时候用到了like这个关键词,但是放在Mapper.xml中拼接sql的时候抛出了异常,一个是类型不能为空,另一个是无法与实体类对应,大致sql如下SELECT id  FROM A  where  B like '%#{gzlx}%',这里在执行的时候是肯定会抛出异常的,因为#将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:where username=#{username},如果传入的值是111,那么解析成sql时的值为where username="111", 如果传入的值是id,则解析成的sql为where username="id". 

解决方法我们可以使用${},因为$将传入的数据直接显示生成在sql中。如:where username=${username},如果传入的值是111,那么解析成sql时的值为where username=111;而不会自动添加分号。但是这样一做又会引起sql注入问题,所以我们这里可以这样来操作以避免sql注入,

<select id="findUserById" parameterType="java.util.Map" resultType="java.util.Map">          

select * from user where username like CONCAT('%',#{username},'%')

</select> 
 

二,关于mybatis中$与#的深入了解

1、#将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。
如:where username=#{username},如果传入的值是111,那么解析成sql时的值为where username="111", 如果传入的值是id,则解析成的sql为where username="id". 
2、$将传入的数据直接显示生成在sql中。
如:where username=${username},如果传入的值是111,那么解析成sql时的值为where username=111;

3、针对上面的sql,如果传入的值是;drop table user;,

那么第一条用#{}的sql解析为:select id, username, password, role from user where username=";drop table user;"

那么第二条用${}的sql解析为:select id, username, password, role from user where username=;drop table user;

这时候已经sql注入了。

3、#方式能够很大程度防止sql注入,$方式无法防止Sql注入。
4、$方式一般用于传入数据库对象,例如传入表名和列名,还有排序时使用order by动态参数时需要使用$ ,ORDER BY ${columnName}
5、一般能用#的就别用$,若不得不使用“${xxx}”这样的参数,要手工地做好过滤工作,来防止sql注入攻击。
6、在MyBatis中,“${xxx}”这样格式的参数会直接参与SQL编译,从而不能避免注入攻击。但涉及到动态表名和列名时,只能使用“${xxx}”这样的参数格式。所以,这样的参数需要我们在代码中手工进行处理来防止注入。

早春的树长在理想三旬
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
mybatis 拦截 query like 子句 转义% _ \
qq_40714608的博客
09-10 292
@Intercepts({@Signature( type = Executor.class, method = "query", args = {MappedStatement.class, Object.class, RowBounds.class, ResultHandler.class} )}) @Component public class MyInterceptorForMybatis implements Interceptor { private final.
mybatis启动无线循环的抛出异常
10-16
mybatis启动无线循环的抛出异常类,只要用这个继承,就可以抛出异常
Mybatis@Param注解,关于TypeException异常处理
qq_22363985的博客
09-14 552
1.问题描述采用多参数@Param配置,调用如下方法时报type参数异常 int equipmentAuthByListUserIdsCount(@Param(value = "type") String type, @Param(value = "idEquipment") Integer idEquipment); 2.异常信息:分析了一下mybatis源码,主要原因是mybatis TypeHandler匹配异常导致。除此之外一般都是书写问题,或者参数名、jdbcType类型错...
Spring Boot Mybatis使用Like的使用方式和注意点
程序人生
04-19 1572
使用Springboot简单配置一下Mybatis,然后进行说明。Springboot集成Mybatis这里就不做介绍了,这里我们主要介绍一下在mybatis配置文件怎么使用模糊查询
sqlMyBatis Plussql报错LIKE “%?%“:
SunPeng的博客
01-01 1138
sqlMyBatis Plussql报错LIKE "%?%":
Mybatis-LIKE查询时参数含有通配符的处理
weixin_41232409的博客
03-24 1424
问题描述: 最近产品提了一个bug,在列表模糊查询时,如果输入“%”会查询出全部数据,并不是仅包含%的数据,网上查了一下原因,原来“%”、“_”是LIKE查询的通配符,如果仅输入配符进行模糊查询,会默认查询全部数据。 原因分析: 网上很多解决方案都是将LIKE查询替换成其他模糊查询函数,而这种对sql的改动又太大。 由于项目用的mybatis,自然就想到了mybatis拦截器全局进行处理,将“%”改成“\%”再执行,实现方式由很多种,如拦截ParameterHandler等,但如果传入的parameter
MyBatis在Oracle数据库下用concat函数模糊查询之参数个数无效错误
qq_39540631的博客
04-10 1163
这个是原本的MySQL的一个语句 a.AREA_ID LIKE concat( '%', ?, '%' ) ,然后由于迁移到了oracle,发现一执行就报错 一直出现参数个数无效 ,然后在网上查了,才发现 oracle使用concat,concat只能连接两个字符,而“||”可以连接多个字符。 所以解决方法有: 用concat连接多个字符时,需要嵌套 a.AREA_I...
mybatis-Plus异常LambdaQueryWrapper
qq_56776641的博客
02-04 1377
问题代码 LambdaQueryWrapper<Book> lqw=new LambdaQueryWrapper<>(); //条件查询 lqw.like(Strings.isNotEmpty(book.getType()),Book::getType,book.getType()); lqw.like(Strings.isNotEmpty(book.getName()),Book::getName,book.getName()); lqw.like(Strings.i
Mybatislike模糊查询功能
08-31
本文将详细介绍Mybatis使用`LIKE`进行模糊查询的几种方法。 1. **参数直接加入`%`** 在Mybatis的动态SQL,我们可以直接在传入的参数添加`%`符号来实现模糊查询。例如,对于`username`和`password`字段,...
使用Mybatis遇到的there is no getter异常
08-26
使用Mybatis框架进行数据库交互时,偶尔会遇到一个奇怪的问题,即在mapper接口遇到"There is no getter for property"异常。这个异常的出现原因是由于Mybatis框架在映射实体类的属性时,无法找到对应的getter...
mybatis文离线文档
04-30
11. **MyBatis与Spring的整合**:在实际项目MyBatis通常与Spring框架结合使用,通过Spring的事务管理、依赖注入等功能,可以使MyBatis使用更加简便。 以上只是MyBatis框架的一部分关键知识点,完整的文离线...
详解MyBatis模糊查询LIKE的三种方式
08-26
模糊查询是数据库SQL使用频率很高的SQL语句,通过MyBatis可以更加灵活地进行模糊查询。本文将详解MyBatis模糊查询LIKE的三种方式。 直接传参法 直接传参法是将要查询的关键字keyword,在代码拼接好要查询的...
MyBatis】 动态SQL——模糊查询 LIKE
不抛弃、不放弃:Aaron莫言
11-22 520
一:LIKE % % SELECT * FROM t_usr WHERE name like '%${name}%' SQL解析为:SELECT * FROM t_usr WHERE name like '%海%' 可以看到,传参必须用${}不能用#{},所以这样写的弊端就是不安全,不能防sql注入 有关LIKE使用,请参见:https://blog.csdn.net/wrs120/...
mybatis的模糊查询 %百分号不能用单引号,要使用双引号
manong129的博客
04-17 778
mybatis的模糊查询 %百分号不能用单引号,要使用双引号
mybatis oracle proc 数据库测试没问题,java调用就异常 ORA-00900: 无效 SQL 语句
不知为知之 的博客
07-13 1024
测试存储过程,输入输出,打印 declare numbers number; begin doc_serial_number_proc('77',numbers); DBMS_OUTPUT.PUT_LINE(numbers); end; 编写存储过程 CREATE OR REPLACE procedure doc_serial_number_proc( acset_code_ym in varchar2,-- 输入 FYDRG+账套号+年月(如1907) numbers out number -
mybatis运行报错 syntax error, error in :‘name like ‘%‘ ? ‘%‘
weixin_45792853的博客
10-16 3412
mybatis运行报错 syntax error, error in :'name like ‘%’ ? '%' SELECT e.id,e.name,e.price,e.description,e.author,e.pub_date,e.publisher, c1.id as p_id,c1.`name` as p_name, c1.description as p_desc,c2.id as c_id, c2.`name` as c_name,c2.description as c_desc
Mybatis like 模糊查询问题
ly315ly的专栏
07-20 1206
Mybatis的xml使用like时,报错:无效的列索引,解决方法如下: like '%'||#{参数}||'%' 或 like concat(concat('%',#{参数}),'%')
解决mybatis-plus查询字段含有关键词时异常问题
WorldMvp的专栏
05-11 5983
使用mybatis-plus查询mysql某张表的数据时,一直告警提示sql syntax error。于是,把异常提示里的sql语句复制到navicat执行,也提示sql syntax error。仔细看了下,发有几个字段在navigate里面标示为蓝色(这几个字段为sensitive、status、name),这几个字段在mysql里面是关键词。在查询语句去除这几个字段,发现查询就好使了。 既然定位到了问题,接下来就要解决问题。解决方案为: 在mybatis/mybatisPlus,在查询特殊
sql语句,双竖线“||”遇到的坑
热门推荐
通往架构师之路
06-08 1万+
1.业务背景 以前的一个项目是用oracle做的,现在改成maria数据库,orm用的是mybatis 2.遇到的问题 本以为换个数据库只要改些配置就行了,没想到遇到一个like语句的问题,无论条件传入什么,返回的是全部的值 sql是这样写的 <if test="name!= null and name!= ''"> and name like '%'||#{name}||'%' </if> 3.调查结果 原来双竖线“||”在ora.
mybatis的通配符
最新发布
04-20
MyBatis,通配符是用于模糊匹配的特殊字符,常用于SQL语句的查询条件MyBatis支持两种通配符: 1. 百分号(%)通配符:表示任意字符出现任意次数(包括零次)。可以用于模糊匹配字符串的开头、结尾或间...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值