mybatis like %% 模糊查询防sql 注入

最新推荐文章于 2022-07-05 11:34:50 发布
最新推荐文章于 2022-07-05 11:34:50 发布
阅读量1.1w 收藏 4
点赞数
分类专栏: myibatis3 文章标签: sql ibatis string jdk java
所以解决的思路是:sql中应该跟正常的替换方式相同,ibatis并没有提供特殊写法,应该在传入的参数上下功夫。

也就意味着需要自己来做转译。

SQL文:

select * from A where A.name like #{key}


java端对Key值进行转译:

    public static String transfer(String keyword) {
        if(keyword.contains("%") || keyword.contains("_")){ 
            keyword = keyword.replaceAll("\\\\", "\\\\\\\\") 
                             .replaceAll("\\%", "\\\\%") 
                             .replaceAll("\\_", "\\\\_");
        }
        return keyword;
    }


然后再转译后的key上,按照逻辑添加“%”或者“_”,再设置到statement中即可。

例如:前方一致检索

key = transfer(key) + "%";
注意:上面的转译方法适用于jdk1.6,之前的可能需要将第一个.replaceAll("\\\\", "\\\\\\\\")

改成:.replaceAll("\\", "\\\\") 即可。
flanet
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
详解Mybatis框架SQL注入指南
08-18
主要介绍了详解Mybatis框架SQL注入指南,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
MyBatis中的模糊查询语句
08-31
MyBatis模糊查询不仅限于简单的`LIKE`操作,还可以结合其他SQL函数,如`SUBSTRING`、`INSTR`等,实现更复杂的模糊匹配逻辑。同时,MyBatis的动态SQL特性使得我们可以根据不同的业务需求灵活构造查询语句。 总的来...
Mybatis模糊查询和动态sql语句的用法
08-26
今天小编就为大家分享一篇关于Mybatis模糊查询和动态sql语句的用法,小编觉得内容挺不错的,现在分享给大家,具有很好的参考价值,需要的朋友一起跟随小编来看看吧
mybatis中LIKE模糊查询使用方式
weixin_42634991的博客
08-16 566
方式一 : 使用 ${} 【平时尽量避免使用】 <select id="searchChannelsByName" parameterType="java.lang.String" resultMap="BaseResultMap"> select <include refid="Base_Column_List" /> from channel where deleted = '0' and name like '%${name}%' ..
MyBatis模糊查询LIKE的三种方式
程序人生
07-05 1万+
在操作数据库时,查询是最常用的语句,模糊查询也是数据库SQL中使用频率很高的SQL语句,利用MyBatis框架来进行更加灵活的模糊查询
mybatis中的like查询,$取值时sql注入和通配符注入,#取值时通配符注入
luoyong at csdn
12-11 8900
mybatis中用like查询时,如果用户输入的值有"_"和“%”,则会出现这种情况: 用户本来只是想查询“abcd_”,查询结果中却有"abcd_"、"abcde"、"abcde"等等,用户要查询"30%"(注:百分之三十)时也会出现问题。 测试后发现不管你是用#{xxxx }还是用${xxxx }取值都会存在这些问题,而且用${xxxx }取值时还存在sql注入的问题。 为了解决这些问
MybatisSQL注入之like模糊查询整理
qq_34868715的博客
09-11 6876
#{}是经过预编译的,是安全的;${}是未经过预编译的,仅仅是取变量的值,是非安全的,存在SQL注入。 如果order by语句后用了${},那么不做任何处理的时候是存在SQL注入危险的。只能手动处理过滤一下输入的内容。如判断一下输入的参数的长度是否正常(注入语句一般很长),更精确的过滤则可以查询一下输入的参数是否在预期的参数集合中。 ‘#’与 ‘$’ 的区别最大在于:#{} 传入值时,sql解析...
mybatis使用like模糊查询sql注入写法
HelloWorld
04-11 789
在使用like模糊查询时,一般写法是:select * from user where username like "%三%"。也可以写为:select * from user where username like "%"'三'"%"。根据这种写法使用#{}可以写为: select * from user where username like "%"#{valu...
利用MyBatis进行不同条件的like模糊查询的方法
08-27
MyBatis中,使用like模糊查询可以使用Example方式进行查询条件的注入。例如: ```java public List<MkUser> searchUser(String type, String condition) { SearchType search = new SearchType(); search....
MyBatis实现模糊查询的几种方式
08-27
MyBatis实现模糊查询的几种方式 MyBatis是一款流行的基于Java的持久层框架,它提供了强大灵活的方式来与数据库进行交互。在实际开发中,我们经常需要实现模糊查询来满足业务需求。今天,我们将探讨MyBatis实现模糊...
mybatis避免sql的like注入
05-31 286
<select id="NotInByEvalQuestion" resultType="com.rm.eval.entity.EvalQnQuestion"> SELECT * FROM eval_question WHERE 1=1 and validate_flag='Y' <if test="title!=''and ...
SQL中查询“%”字符的三种方法
热门推荐
甘焕的博客
08-21 3万+
数据整理任务需要清除包含“%”字符的记录,经过简单的测试(基于MYSQL 5.6),大概有以下三种方法。 1. 用“\”转义 使用转义字符,将“%”写为“\%”,示例如下: select * from t_test where t_fr like '%\%%'; 写到这里,突然想到,如果记录中包含“\”字符怎么办?经过测试,在SQL中,需要连续4个“\\”才能正确表述“\”,如下:...
SQL 模糊查询符号区别
半壁江山009的博客
04-25 3098
1、%:表示零个或多个字符 可以匹配任意类型和任意长度的字符,若是中文,则使用%%; 比如:select * from flow_user where username like ‘%王%’;   将会把flow_user这张表里面,列名username中还有“王”的记录全部查询出来   另外,如果需要找到flow_user这张表里面,字段username中既有“唐”,又有...
eclipse的servlet默认不执行index_男朋友连模糊匹配like %%怎么优化都不知道
weixin_39947501的博客
11-28 252
三歪最近发现我一直在写MySQL的文章,然后就跟我说他有sql用到like的时候就没办法用到索引了,问我怎么办。我让他坐在我腿上,摸着他的手说道:傻瓜,这样这样,你看这不是好了?顺手刮了一下他的鼻子。三歪小脸一红,说:你真讨厌,然后娇羞的走了。玩笑归玩笑哈,其实在开发过程中,经常会碰到一些业务场景,需要以完全模糊匹配的方式查找数据,就会想到用 like %xxx% 或者 like %xx...
sql中like与%%的用法
pasken的专栏
10-12 2万+
sql中like与%%的用法 mysql> select * from a; +-------+----------+ | id | name | +-------+----------+ | 1000 | zhangsan | | 2000 | lisi | | 3000 | NULL | +-------+----------+ 3 rows in set
mybatis模糊查询特殊符号%(百分号)和_(下划线)不转义
qq_28433521的博客
06-02 3914
在使用mybatis模糊查询时,有两个特殊符号需要注意: %(百分号):相当于任意多个字符; _(下划线):相当于任意的单个字符; 处理方法: 1: (查询条件参数,比如"xx%_x")param.replaceAll("%", "/%").replaceAll("-", "/-") 2-1: select * from table where column like concat('%',#{param},'%') escape '/'; 2-2: vc.title like conc
SQL怎么实现模糊查询
学而不思则忘
12-06 2万+
模糊查询的语句一般如下: SELECT 字段 FROM 表 WHERE 某字段 LIKE 条件; 关于条件部分,有以下匹配模式: 1. %:表示零个或多个字符。 可以匹配任意类型和任意长度的字符,有些情况下若是中文,请使用两个百分号(%%)表示。 select * from user where username like '%张%'; 将会把user这张表里面,列名username中含有张的记录全部查询出来。 如果需要找到user这张表里面,字段username中既有张,又有李的记录,可以使用and
SQL中 % ,_,【】,【^】通配符的的使用
10-23 1万+
自己创建了一个Student表然后按照自己所学的总结一下这几个通配符的语法。 --查询所有姓"王"学生的姓名,性别,班级 --1.'%'的使用:代表0个或多个字符 select Sname ,Ssex , class from student where sname like '王%'; --查询名字第二个字为"芳"学生的姓名,性别,班级 --1.'_'的使用:代表一个字符 sele...
mybatis sql like模糊查询
最新发布
07-28
使用 MyBatis 进行模糊查询可以使用 SQL 的 `LIKE` 关键字配合 `%` 和 `_` 进行通配符匹配。以下是一个示例: ```xml <select id="getUserByName" resultType="User"> SELECT * FROM users WHERE name LIKE '%${name}%' </select> ``` 在这个示例中,`getUserByName` 是查询语句的唯一标识,`User` 是结果的返回类型。`${name}` 是使用 `${}` 语法引用传入的参数值。 在上述示例中,我们使用了 `%` 通配符来匹配任意字符的任意长度,这意味着在 `name` 字段的任意位置都可以包含传入的参数值。如果要进行精确匹配,可以根据需要修改通配符的位置。 请注意,在使用 `${}` 语法来引用参数值时,MyBatis 不会对参数进行预编译,这可能会导致 SQL 注入的安全风险。为了避免这个问题,建议使用 `#{}` 语法来引用参数值,如下所示: ```xml <select id="getUserByName" resultType="User"> SELECT * FROM users WHERE name LIKE CONCAT('%', #{name}, '%') </select> ``` 在这个示例中,我们使用 `CONCAT` 函数来拼接 `%` 和参数值,并且使用 `#{}` 语法来引用参数值。这样做可以确保参数值会被正确地进行预编译,提高查询的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值