模糊查询书写方式 以及#{}和${}的区别

最新推荐文章于 2022-12-09 13:13:20 发布
最新推荐文章于 2022-12-09 13:13:20 发布
阅读量513 收藏 2
点赞数
文章标签: mybatis java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liu_shuai123/article/details/115697957
版权

模糊查询的几种书写方式


最近工作中为了防止sql注入问题让将使用" KaTeX parse error: Expected 'EOF', got '#' at position 14: { }"方式的语句改为"#̲{ }",检查了一下代码 代码…{}%'这种方式,在这里记录一下更改方法

方式一:

在UserMapper.java类中添加一个方法,如下:

//模糊查询
List<User> findByName(String name);

映射文件
在 UserMapper.xml 文件中加入配置,如下:

<!--模糊查询-->
<select id="findByName" parameterType="java.lang.String"
resultType="com.***.domain.User">
select * from user where name like #{name}
</select>

逻辑层语句
List userList = userDao.findByName("%张%")

方式二:

映射文件
在 UserMapper.xml 文件中加入配置,如下:

<!--
注意:在Oracle中, "" 只能用于起别名
-->
<select id="findByName" parameterType="java.lang.String"
resultType="com.***.domain.User">
select * from user where name like "%"#{name}"%"
</select>

方式三:

映射文件
在 UserMapper.xml 文件中加入配置,如下:

<!--
注意:在Oracle中, concat()只支持两个参数
-->
<select id="findByName" parameterType="java.lang.String"
resultType="com.***.domain.User">
select * from user where name like concat(concat('%',#{name}),'%')
</select>

方式四

映射文件
在 UserMapper.xml 文件中加入配置,如下:

<!-- 注意: ${} 的形式中间key必须填写value-->
<select id="findByName" parameterType="java.lang.String"
resultType="com.***.domain.User">
select * from user where name like "%${value}%"
</select>

总结:
第四种存在sql注入的风险:
#表示占位符, 相当于JDBC中的?, 底层工作的是PreparedStetement对象, SQL只编译一次, 而且没有SQL注入问题
#当传入的参数为一个简单类型时, #{}可以随便写
$ 表示字符串拼接, 底层工作的是Statement对象, 每次都会重新编译, 而且存在 SQL 注入问题
$ 当传入的参数为一个简单类型时, ${}只能写value

OMG!
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
DBeaver Oracle驱动
08-09
DBeaver Oracle驱动
关于模糊查询like中#和$的用法
weixin_38167703的博客
01-20 4109
如果用$的话那么可以直接在mapper文件中的select语句的中直接用单引号使用直接读取数据因为他会把数据直接放入(编译之前sql已经没有常量了) select * from user where sex = #{user.sex} and username like '%${user.username}%'; 如果要在like中使用#{}那么单引号中的所有数据都应...
模糊查询的两种写法
jsut_rick的博客
08-22 2088
模糊查询 like 和 Oracle中的 instr() 函数有同样的查询效果。 如下所示: select * from um_user where email like 'zhangwei%'; select * from um_user where instr(email,'zhangwei')&gt;0;...
#{}与${}的区别,以及模糊查询时该如何使用(超详细)
lifan_zuishuai的博客
02-11 2409
最近发现对${}与#{}的区别有些模糊,所以重新复习一遍并记下笔记 mybatis#{}与${}的区别 #{}是使用预编译(底层使用preparedStatement调用set方法来赋值),会在参数前后加单引号' 而${}是使用拼接的方式将${}替换为变量 所以mybatis在进行like查询时 "%%"只能使用"%${}%",最后会拼接成"%变量%" 如:select * from t_tra...
MyBatis模糊查询的几种实现方式
Java程序媛,欢迎大家一起交流学习~
12-09 1万+
MyBatis模糊查询的几种实现方式,和应用中遇到的问题。
MyBatis详解(二)模糊查询#{}和${}区别、动态sql、多表关系
m0_48811221的博客
03-02 1102
模糊查询#{} 映射文件: <!-- //根据名称模糊查询 public List<TUser> findByName(); parameterType="" 一个参数可省略不写 写的话 全限定类名 SELECT * FROM USER WHERE username LIKE '%王%'; --> <select id="findByName" resultType="com.llz.domain.TUser" parame
Mybatis中的#{}和#{}区别,及以模糊查询为例
破折号--的博客
12-04 2153
Mybatis中的#{}和#{}区别,及以模糊查询为案例1.#{}与${}可以干什么2.区别1>2>3>    为什么呢?4>3.总结4.模糊查询案例1.使用#{ }进行模糊查询2.使用${ }进行模糊查询 1.#{}与${}可以干什么 Mybatis的Mapper.xml语句中parameterType向SQL语句传参有两种方式:       1:#{ }: 可以接收简单类型值或者p
ThinkPHP like模糊查询,like多匹配查询,between查询,in查询,一般查询书写方法
10-17
ThinkPHP的数据库条件查询语句有字符串式,数组式书写方法,字符串式即是原生式而数组式的查询语句因书写方式与特定字符的原因比较复杂,今天为大家讲解一下ThinkPHP数组式查询语句的书写方法
模糊理论和神经网络的基础与应用(经典)(绝版)
09-27
清华大学出版社,书写的详细,经典,是一本难得的好书,是模糊理论和神经网络初学者和高级学者必读教材,必备教材,实用教材,强烈推荐。
STM32F103 模糊自整定增量式PID控制电机速度
10-06
本代码是基于STM32F103ZET6和编码器直流电机编写的,模糊自整定增量式PID控制电机转动速度的程序。并且是基于正点原子代码格式编写的,相对于普通增量式PID来说控制效果更好,是很好的算法优化。对于初学者有重要的...
基于Matlab的模糊控制PID仿真,以及相应的论文,验证参数
最新发布
07-18
基于Matlab的模糊控制PID仿真,以及相应的论文,验证参数 Simulink是MATLAB最重要的组件之一,它提供一个动态系统建模、仿真和综合分析的集成环境。在该环境中,无需大量书写程序,而只需要通过简单直观的鼠标操作,...
${} 和 #{} 的区别,防止sql注入,#{}的模糊查询
Java牛马的博客
08-09 1571
Java模糊查询Mybatis模糊查询相关,xml),防止sql注入 1.先看一波这种写法实现模糊查询: <select id="queryExample" resultMap = "userMap" > select id, email, password, create_time, phone_number from ex_user where nickname like '%${nickname}%' </select> 说明: 一般情况下,
模糊查询写法
m0_47520601的博客
08-22 182
模糊查询写法
mysql模糊查询 % , _ ,[], [^] 的区别
papaya的博客
07-23 5047
mysql模糊查询总结 1.% 表示任意0个或多个字符 2._ 表示任意单个字符(有且仅有一个字符,可以是中文,也可以是英文,也可以是数字) 3.[] 表示其中的某一个字符 4.[^] 表示除了其中的字符的所有字符 示例 1. % 表示任意0个或多个字符 下面的这个sql可以查找 nickName 中带有 中 的玩家 2._ 表示任意单个字符(有且仅有一个字符,可以是中文,也可以是英文,也可以是数字) 下面的sql可以查找 nickName中第二个字符是 中 ...
[MyBatis]模糊查询LIKE的三种方式
睁眼看世界
01-17 15万+
模糊查询也是数据库SQL中使用频率很高的SQL语句,使用MyBatis来进行更加灵活的模糊查询。 直接传参法 直接传参法,就是将要查询的关键字keyword,在代码中拼接好要查询的格式,如%keyword%,然后直接作为参数传入mapper.xml的映射文件中。 public void selectBykeyWord(String keyword) { String id
mybatis中LIKE模糊查询的几种写法以及注意点
热门推荐
NasubiZW
08-20 39万+
mybatis中对于使用like来进行模糊查询的几种方式: (1)使用${...} 注意:由于$是参数直接注入的,导致这种写法,大括号里面不能注明jdbcType,不然会报错 org.mybatis.spring.MyBatisSystemException: nested exception is org.apache.ibatis.reflection.ReflectionExc...
mybatis 模糊查询的三种写法
程序员阿坤的博客
09-26 929
select * from user where name like ‘%#{username}%’,这样写是会报错的。 解决办法:   ① 参数中直接加入%%   param.setUsername("%CD%"); param.setPassword("%11%"); &lt;select id="selectPersons" resultType="person" p...
springboot项目中实现模糊查询的流程
04-17
首先,您需要在POJO类中定义需要进行模糊查询的属性,并在对应的Mapper.xml文件中书写相应的SQL语句,使用LIKE语句实现模糊匹配。然后,在Service层中定义查询接口,实现模糊查询的逻辑,最后在Controller层中接收...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值