mybatis中使用mysql的模糊查询字符串拼接(like)

最新推荐文章于 2024-07-11 16:19:46 发布
最新推荐文章于 2024-07-11 16:19:46 发布
阅读量1.1k 收藏 1
点赞数
分类专栏: mybatis mysql druid
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/banyanmars/article/details/103482410
版权
mybatis 同时被 3 个专栏收录
2 篇文章 0 订阅
订阅专栏
mysql
2 篇文章 0 订阅
订阅专栏
druid
1 篇文章 0 订阅
订阅专栏

问题:

报错信息包含:Druid sql injection violation, part alway false condition not allow

原有写法:

<if test="projectName != null ">
    and project_name like '%'||#{projectName}||'%'
</if>

经过druid编译后,条件变为

AND project_name LIKE '%' OR ? OR '%'

 

解决:

方法一:

<if test="projectName != null "> and project_name like concat('%',#{projectName},'%') </if>

方法二:

<if test="projectName != null ">
    <bind name="bindProjectName" value="'%'+projectName+'%'"></bind>
    and project_name like #{bindProjectName}
</if>

参考:https://www.cnblogs.com/shuaifing/p/7928628.html

另一种方法(如果实在改sql无效果的话)

可以删除wall参数:https://www.cnblogs.com/haha12/p/4670400.html

解决方案:

参数filters: 属性类型是字符串,通过别名的方式配置扩展插件,常用的插件有:
监控统计用的filter:stat 日志用的filter:log4j 防御sql注入的filter:wall。

把 filters配置中 去掉 wall即可。

banyanmars
关注
专栏目录
Mybatis模糊查询——三种定义参数方法和聚合查询、主键回填
qq_53317005的博客
03-25 4645
Mybatis模糊查询——三种定义参数方法和聚合查询、主键回填
Mybatis的like模糊查询功能
08-31
主要介绍了Mybatis的like模糊查询功能,非常不错,具有参考借鉴价值,需要的朋友可以参考下
MyBatisLike模糊查询的几种写法和注意点
最新发布
baomingshu的博客
07-11 452
注意:这里%需要使用双引号,不能使用单引号。因为#{···}解析成sql语句会在变量外侧自动加单引号’’先看文章目录,大致了解知识点结构,直接点击文章目录可以跳转到文章指定位置。注意:MySQL的CONCAT()函数用于将多个字符串拼接成一个字符串。注意:在bind标签自定义拼接后,SQL语句将使用bind的name。
mybatismysql模糊查询like的拼接问题
qq_37358381的博客
11-09 684
mybatismysql模糊查询like的拼接问题 对于要传参数的sql,因为#{…}解析成sql语句时候,会在变量外侧自动加单引号’ ',直接加%会报错 使用concat来拼接参数和%来模糊查询 <select id="queryBookByName" resultType="Books"> select * from ssmbuild.books where bookName like concat('%',#{bookName},'
mybatis mysql模糊查询
ataUFO的博客
09-06 665
---------LIKE '%#{location}%' 使用mybatis执行以上sql的时候为什么会出现Parameter index out of range (1 > number of parameters, which is 0)? 参考了下面这位http://blog.csdn.net/t123012009065/article/detail
MyBatis模糊查询LIKE
FeelTouch Labs
07-10 584
1.表达式: name like"%"#{name}"%"==&gt;  Preparing: select * from bbs_brand WHERE namelike"%"?"%"and falg=? limit 0 , 10==&gt;Parameters: 999(String), 1(Integer) 2.表达式: name like '%${name}%'Preparing:sele...
Mybatis Oracle 的拼接模糊查询及用法详解
08-27
需要注意的是,在 Mybatis 拼接模糊查询的用法拼接模糊查询的用法,是将传入的值当做字符串的形式。因此,拼接的时候 `#{userName}` 默认自带引号。 二、技巧 在使用 Mybatis 实现 Oracle 数据库的查询...
mybatis里面mysql的模糊搜索_MyBatis Plus之like模糊查询包含有特殊字符(_、\\、%)...
weixin_33321992的博客
02-07 1367
传统的解决思路:自定义一个拦截器,当有模糊查询时,模糊查询的关键字包含有上述特殊字符时,在该特殊字符前添加\进行转义处理。新的解决思路:将like 替换为 MySQL内置函数locate函数一、问题提出使用MyBatis模糊查询时,当查询关键字包括有_、\、%时,查询关键字失效。二、问题分析1、当like包含_时,查询仍为全部,即like '%_%'查询出来的结果与like '%%'一...
详解MyBatis模糊查询LIKE的三种方式
08-26
模糊查询是数据库SQL使用频率很高的SQL语句,通过MyBatis可以更加灵活地进行模糊查询。本文将详解MyBatis模糊查询LIKE的三种方式。 直接传参法 直接传参法是将要查询的关键字keyword,在代码拼接好要查询的...
mysql参数化模糊查询的字符串_mysql使用参数化查询,like模糊查询,应如何拼接字符串_MySQL...
weixin_32529429的博客
01-19 580
bitsCN.commysql使用参数化查询,like模糊查询,应如何拼接字符串好奇是学习的源动力:因为在群里潜水看到关注sql注入的讨论,尝试在自己程序的搜索框输入单引号,程序报错,开始尝试修改为参数化查询,噩梦开始了。。搬出了毕业时写的DBHelper(很早写的使用参数化查询的操作类),替换掉程序为了方便精简(姑且这么说吧)的DBHelper。开始安装平常的逻辑拼接:sql += " whe...
Mybatis模糊查询 like 语句该怎么写?
LHH201016的博客
09-14 302
第 1 种:在 Java 代码添加 sql 通配符。 第 2 种:在 sql 语句拼接通配符,会引起 sql 注入
自定义插件解决MyBatis-Plus like查询遇_ % \等字符需转译问题(含分页查询)
qq_37857119的博客
02-17 5883
实现MyBatis-Plus自定义插件,解决like预处理参数_ & \通配符转译问题
【Util类:MyBatis&MyBatisPluslike模糊查询特殊字符转码、转义】
m0_56172703的博客
05-19 1284
MyBatis&MyBatisPluslike模糊查询特殊字符转码、转义util工具类
MyBatis之Like模糊查询的两种实现方式
yuanjinshenglife的专栏
02-15 3025
MyBatis之Like模糊查询的两种实现方式
mybaits 模糊查询条件拼接的几种方式
zhaluo_dehezi的博客
09-16 1511
第一种 直接用${} 进行字符串拼接 但是有SQL注入的风险.所以不推荐使用 select * from user where username like '%${value}%' 第二种 使用#{value} 然后在业务层java代码将 % 拼接好 select * from user where username like #{value} 第三种 推荐使用 c...
Mybatis动态sql拼接多个like模糊查询
m0_59092234的博客
08-22 3839
keywords是一个ArrayList集合,其包含了若干String类型关键字,需要根据不同的关键字进行模糊查询匹配。foreachcollection的值"keys"是接口的list参数名,用@Params(“keys”)指定名称。模糊查询拼接使用concat(‘%’,#{item},‘%’),而不使用’%${item}%', 防止sql注入。
mybatis 模糊查询 like 语句该怎么写?
java小白翻身
04-03 3091
MyBatis 使用like关键字进行模糊查询,可通过在 SQL 语句使用concat()函数将需要查询的关键词拼接到 SQL 语句实现。在 MyBatis-Plus 使用类构建查询条件,通过调用like方法进行模糊查询,用于获取对应实体的属性并指定查询关键词。总的来说,模糊匹配是 SQL 查询比较常用的一种方式,MyBatisMyBatis-Plus 都能够很方便地支持模糊查询,具体实现根据项目需要进行选择。
mysql模糊查询like 动态拼接
08-16
MyBatis使用MySQL模糊查询字符串拼接(like)方法可以通过使用concat()函数来连接两个或多个字符串。这可以用于动态构建模糊查询的SQL语句。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [mybatis使用mysql模糊查询字符串拼接(like)](https://blog.csdn.net/Ls66666Ls/article/details/130627299)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *2* *3* [MySQL 模糊查询MySQL 数据库 like 语句通配符模糊查询小结](https://blog.csdn.net/qq_22695001/article/details/109043907)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值