屏蔽用户输入查询通配符‘%’或‘_’

最新推荐文章于 2023-08-23 23:15:23 发布
最新推荐文章于 2023-08-23 23:15:23 发布
阅读量1.8k 收藏
点赞数
分类专栏: Oracle 文章标签: sql 屏蔽统配符
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kpchen_0508/article/details/47341699
版权

问题:在模糊查询的SQL语句中,如果有用户输入查询通配符‘%’,使用 select * from table where code like '%condition%'的SQL,会查出全部记录,这个如何解决?


if(!StringUtils.isEmpty(_cname)){
            /**  处理模糊通配符%和_  */
            sql.append(" and c.FCOURSEWARE_NAME LIKE '%").append(EscapeUtils.escapeStr(_cname)).append("%' escape '\\'");
             
            model.addAttribute("_cname", _cname);
        }

EscapeUtils的escapeStr方法:(注意:只能屏蔽已‘%'或'_'开始或结尾的字符串) 

/**
     * Description: 处理转义字符%和_,针对ORACLE数据库
     * @param str
     * @return
     */
    public static String escapeStr(String str){
        if(str.startsWith("%") || str.startsWith("_")){
            str = "\\" + str;
        }
         
        if(str.endsWith("_")){
            int index = str.indexOf("_");
            str = str.substring(0, index) + "\\" + "_";
        }
         
        if(str.endsWith("%")){
            int index = str.indexOf("%");
            str = str.substring(0, index) + "\\" + "%";
        }
         
        return str;
    }


屏蔽字符串中的任意位置%'或'_'  ,针对Oralce数据库:

public String escapeStr(String str){
        String temp = "";
        for (int i = 0; i < str.length(); i++) {
            if (str.charAt(i) == '%' || str.charAt(i) == '_') {
                temp += "\\" + str.charAt(i);
            } else {
                temp += str.charAt(i);
            }
        }

        if (temp.contains("%") || temp.contains("_")) {
            temp = "'%" + temp + "%' escape '\\'";
        } else {
            temp = "'%" + temp + "%'";
        }
        return temp;
    }


使用方法:


注释: 其实就是利用oracle的escape函数进行转义,把通配符转义成普通符号使用。

时间辜负了谁
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
WordPress屏蔽功能插件WP-Ban
10-17
另外,屏蔽用户设置条件时可以全用通配符。 WP-Ban插件安装: 下载WP-Ban插件,然后上传插件到/wp-content/plugins/下的文件夹。 到wp管理后台插件页面激活插件,激活后插件后,在“Settings”--->“Useronline”...
过滤SQL特殊字
01-17 2005
过滤sql特殊字方法集合 1. ///      /// 过滤不安全的字串     ///      ///      ///      public static string FilteSQLStr(string Str)     {         Str = Str.Replace("'", "");         Str = Str.Replace(
mysql查询过滤%号_小课堂 -- 绕过去除特殊字sql注入
weixin_28932089的博客
02-19 737
环境sqli-labsless 251、输入特殊字,报错http://192.168.1.121/sqli/Less-25/?id=1\ 2、单引号闭合 3、输入and、or都会被过滤,报错,输入||正常,所以可以判断是大小写过滤http://192.168.1.121/sqli/Less-25/?id=1' and 1=1 --+http://192.168.1.121/sqli/Less-2...
模糊查询时解决'%'和'_'通配符滥用问题
二营长
04-20 3997
经常会有模糊查询的需求,写个模糊查询其实很简单,但是其中可能会遇到一些极少见的问题。例如通配符问题。 模糊查询如下: //查询param相似的参数,例如1param和param3都会匹配到 //第一种写法: select s.iid,s.word from sensitive_word s where s.word LIKE CONCAT(CONCAT('%','param'),'%'...
asp.net request防sql注入_技术干货 | 常见的mysql注入语句
weixin_39828102的博客
11-28 103
(1)不用用户名和密码1 //正常语句2 $sql =”select * from phpben where user_name=’admin’and pwd =’123′”;3 //在用户名框输入’or’=’or’或 ‘or 1=’1 然后sql如下4 $sql =”select * from phpben where user_name=’‘or’=’or” and pwd =” “...
WEB安全番外第五篇--关于使用通配符进行OS命令注入绕WAF
weixin_30256901的博客
02-12 232
一、通配符简介: 一般来讲,通配符包含*和?,都是英文号,*用来匹配任意个任意字,?用来匹配一个任意字。 举个例子使用通配符查看文件,可以很名下看到打卡的文件是/etc/resolv.conf: 1 └─[$]> sudo head -5 /???/r????v.c??f 2 # 3 # macOS Notice 4 # 5 # This file is not co...
Linux提权
小袁的博客
11-30 1238
linux提权
天琼浏览器_E书制作工具_日记加密
04-20
如果您在运行某个软件时发现其中有对您有用的文本资料,然而该软件却不允许您对其进行复制(采用屏蔽鼠标右键等方法),您如果要把它抄下来或打下来,则要花费大量的时间。可采用如下方法:将鼠标放在您要复制的文本...
c# indexof 用法
panyanyan的专栏
06-23 433
c# indexof 用法 IndexOf() 查找字串中指定字或字串首次出现的位置,返首索引值,如: str1.IndexOf("字"); //查找“字”在str1中的索引值(位置) str1.IndexOf("字串");//查找“字串”的第一个字在str1中的索引值(位置) str1.IndexOf("字",start,end);//从str1第start+1个字起,查找end个字,查
【零散知识点总结1】
weixin_44543307的博客
03-06 4441
零散笔记总结@Reference、@Autowired和@Resource的区别:Dubbohttp和HTTPSvue.js跟thymeleaf 的区别web开发,提供3个@Component注解衍生注解(功能一样)取代 @Reference、@Autowired和@Resource的区别: @Reference:是dubbo的注解,也是注入,他一般注入的是分布式的远程服务的对象,需要dubbo配置使用。 @Autowired:org.springframework.beans.factor
C#的IndexOf
最新发布
ultramand的博客
08-23 4853
是一个字串、数组或列表的方法,用于查找指定元素的第一个匹配项的索引。它返回一个整数值,表示匹配项在集合中的位置,如果未找到匹配项,则返回 -1。方法有多个重载形式,可以根据需要选择不同的使用方式。方法来查找指定元素在字串、数组和列表中的索引位置。在以上示例中,我使用了。
Mybatis
m0_58605102的博客
03-29 1164
Mybatis中模糊查询的问题
c#学习记录之Indexof()
xingfutuzi的博客
11-23 5150
c# Indexof()用法
mysql中模糊查询,在页面中输入%查询全部的问题处理
qq_21223653的博客
08-04 5350
在使用mybatis的模糊查询时,有两个特殊号需要注意: %(百分号):相当于任意多个字; _(下划线):相当于任意的单个字; 处理方法: 1:(查询条件参数,比如"xx%_x")param.replaceAll("%", “/%”).replaceAll("-", “/-”) 2:select * from table where column like concat(’%’,#{param},’%’) escape ‘/’; 处理之后百分号%、下划线_在mybatis执行该拼接的sql语句的时候就
SQL中like语句通配符、转义与括号的使用
热门推荐
红尘浪子的专栏
04-21 1万+
可以搜索通配符。有两种方法可指定平常用作通配符的字: 使用 ESCAPE 关键字定义转义。在模式中,当转义置于通配符之前时,该通配符就解释为普通字。例如,要搜索在任意位置包含字串 5% 的字串,请使用: WHERE ColumnA LIKE '%5/%%' ESCAPE '/' 在上述 LIKE 子句中,前导和结尾百分号 (%) 解释为通配符,而斜杠 (/) 之后的百分
mysql模糊查询%_ _%
08-21
MySQL中的模糊查询可以使用通配符`%`来实现。针对模糊查询`%_ _%`,其中的下划线`_`表示任意单个字,而百分号`%`表示零个或多个字。这种查询可以匹配包含至少两个字的任意字串。 以下是一个示例查询语句: ```sql SELECT column_name FROM table_name WHERE column_name LIKE '%_%' ESCAPE '|'; ``` 其中,`column_name`是要匹配的列名,`table_name`是要查询的表名。通过使用LIKE关键字和通配符`%_%`,我们可以在模糊匹配中找到包含至少两个字的字串。 请注意,以上查询中使用了`ESCAPE '|'`来定义转义字为竖线`|`,这是为了防止下划线`_`被解释为通配符。如果您的数据中包含了竖线`|`字,请选择其他非常见的字作为转义字。 希望这能够帮助到您!如果您有任何其他问题,请随时提问。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

时间辜负了谁

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值