前言
日常开发工作中会存在前端模糊查询的功能,这样前端传递过来模糊查询关键字就可能造成sql注入风险,比如:前端传递过来name=%,最终sql条件为name like ‘%%%’。这样就会查询出所有记录,而不是包含%的记录。与预期不符合。所以我们需要针对前端传递过来的模糊查询值做转义处理。
实现代码
public class LikeEscapeUtil {
public static String escapeChar(String before){
if(!StringUtils.isEmpty(before)){
before = before.replace("\\", "\\\\");
before = before.replace("_", "\\_");
before = before.replace("%", "\\%");
}
return before ;
}
}
将前端传过来的模糊查询的值传递给escapeChar方法转移处理后,再作为参数传给Mybatis Mapper。