MyBatis mysql 字符串拼接

最新推荐文章于 2024-09-02 16:30:40 发布
最新推荐文章于 2024-09-02 16:30:40 发布
阅读量1.9k 收藏 1
点赞数
分类专栏: java 文章标签: java 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_67391120/article/details/123660167
版权
"在MyBatis中,拼接字符串用于SQL查询时有两个常见方法。推荐使用CONCAT函数来避免SQL注入风险,例如`SELECT * FROM user WHERE name LIKE CONCAT('%', #{name}
摘要由CSDN通过智能技术生成

MyBatis 中拼接字符串有两种方式。

推荐使用:

1、 使用CONCAT 函数

SELECT*FROMuserWHEREnameLIKECONCAT(CONCAT(’%’, #{name}), ‘%’)

不推荐使用:

2、 使用${ } 代替 #{ }

因为${ }直接传入SQL,而#{ }传入的是字符串带有引号

SELECT*FROMuserWHEREnameLIKE’%${name}%’

第二种方式不推荐使用不仅仅是因为它使用了 符 , 一 定 要 注 意 , 第 二 种 方 式 是 使 用 了 模 糊 查 询 , 并 且 符,一定要注意,第二种方式是使用了模糊查询,并且 使的内容为输入内容,从后端的角度来说这里的$内容是一个不确定的内容,可能会出现sql注入的风险,因此应该杜绝这种方式。

很多人不推荐 , 其 实 ,其实 的使用是要看场合的,例如数组遍历是可以使用的,因为 的 取 值 范 围 固 定 , 不 会 产 生 不 确 定 内 容 , 对 于 的取值范围固定,不会产生不确定内容,对于 的使用我是持中立态度的,因为它存在即合理,有用得到的地方,例如跨表分页等等。。。但是一定要注意,$一定不可以和不确定输入一起使用,这是大忌。

奇怪的大象
关注
专栏目录
java mybatis动态sql 字符串逗号分隔 转换成数组后 forEach进行拼接 mybatis多sql执行
shengguimin的博客
04-28 2029
传个字符串过来,mybatis一样可以以某个字符进行分隔,把它转换成一个数组,然后再进行foreach循环。-- mybatis 动态sql,将传入的字符串通过split拼接成in语句 -->,开启对多sql的支持-->
mybatis控制动态SQL拼接标签之foreach标签
JDIT的博客
10-21 1212
foreach标签主要用于构建in条件,可在sql对集合进行迭代。也常用到批量删除、添加等操作。 这个标签在实际业务非常常用,当然运维旧项目也会发现,有些坑,用java循环执行sql来表示批量插入。 属性说明: collection:collection属性的值有三个分别是list、array、map三种,分别对应的参数类型为:List、数组、map集合。 item :表示在迭代过程每一...
mybatis字符串拼接
qq_42311613的博客
04-16 3942
业务场景,在sql进行字符串拼接,当时写的sql在数据库运行可以查到数据,因此没有考虑sql,问题,一直在考虑参数绑定的问题, <select id="getProgramMenuDataList" resultType="com.iboyaa.synthetical.entity.dto.ProgramMenuDTO"> SELECT DISTINCT pm....
MyBaits连接字符串MyBatis的常见错误(BindingException)
最新发布
Shootingmemory的博客
09-02 236
这里的mapper一定是和mybatis有一个table的距离,否则判断不出来,当然出现下面的情况这样也是正确的。要注意你mapper所在文件主路径是否和yml的配置一致,更需要找到他们之间配置的关系。查看相关信息是否一 一对应,如果没有则会导致文件互相无法找到。在applicaiton.yml配置方式应该如图所示。出现上述错误的解决方法。
mybatis 字符串拼接
hongbowu的专栏
03-29 1839
mybatis 字符串拼接
Mybatis 拼接字符串
gaozhonghua12的专栏
12-05 5291
MyBatis 拼接字符串的两种方式。 1、 使用CONCAT 函数 SELECT * FROM user WHERE name LIKE CONCAT(CONCAT('%', #{name}), '%') 2、 使用${ } 代替 #{ } SELECT * FROM user WHERE name LIKE '%${name}%' 说明:${ }会直接传入SQL,#{ }传入是...
mybatis Mapper.xml传参多选 字符串形式逗号分隔 AND拼接OR.rar
07-12
标题和描述所提及的问题是关于如何在Mapper.xml文件处理字符串形式的参数,这些参数由逗号分隔,并在`AND`语句拼接`OR`子句来实现动态查询。这种场景在处理用户多选过滤条件时非常常见,比如在一个搜索框,...
Mybatis Oracle 的拼接模糊查询及用法详解
08-27
需要注意的是,在 Mybatis 拼接模糊查询的用法拼接模糊查询的用法,是将传入的值当做字符串的形式。因此,拼接的时候 `#{userName}` 默认自带引号。 二、技巧 在使用 Mybatis 实现 Oracle 数据库的查询...
MySql逗号拼接字符串查询的两种方法
12-16
下面两个函数的使用和FIND_IN_SET一样,使用时只需要把FIND_IN_SET换成FIND_PART_IN_SET或FIND_ALL_PART_IN_SET 例如某字段里是为1,2,3,4,5  使用方法: 第一种,传入1,3,6 可以查出来 select * from XXX where FIND...
MyBatis 动态拼接Sql字符串的问题
09-01
MyBatis的动态SQL,解决了SQL字符串拼接的痛苦。下文分步骤给大家详细介绍了MyBatis 动态拼接Sql字符串的问题,非常不错,感兴趣的朋友一起看下吧
MyBatis动态拼接SQL
04-08
MyBatis动态拼接SQL
MyBatis 拼接字符串
热门推荐
分享快乐
10-26 4万+
MyBatis 拼接字符串有两种方式。 1、 使用CONCAT 函数 SELECT * FROM user WHERE name LIKE CONCAT(CONCAT('%', #{name}), '%')   2、 使用${ } 代替 #{ } 因为${ }直接传入SQL,而#{ }传入的是字符串带有引号 SELECT * FROM user WHERE name LIKE '%$...
MyBatis 拼接字符串几种方式
qq_34786108的博客
04-04 1万+
MyBatis 拼接字符串几种方式
Mybatis各种模糊查询
ReturnMe的专栏
01-08 1万+
模糊查询: 工作用到,写三种用法吧   1. sql字符串拼接    SELECT * FROM tableName WHERE name LIKE CONCAT(CONCAT('%', #{text}), '%');   2. 使用 ${...} 代替 #{...}    SELECT * FROM tableName WHERE name LIKE '%${text}%';
OGNL mybatis
weixin_30387799的博客
06-17 299
http://www.mybatis.org/mybatis-3/zh/dynamic-sql.html 动态 SQL MyBatis 的强大特性之一便是它的动态 SQL。如果你有使用 JDBC 或其它类似框架的经验,你就能体会到根据不同条件拼接 SQL 语句的痛苦。例如拼接时要确保不能忘记添加必要的空格,还要注意去掉列表最后一个列名的逗号。利用动态 SQL 这一特性可以彻底摆脱...
mybatis 拼接_关于 Mybatis的 $ 和 # , 你真的知道他们的细节吗?
weixin_39580715的博客
12-09 759
前言在JDBC,主要使用的是两种语句,一种是支持参数化和预编译的PrepareStatement,能够支持原生的Sql,也支持设置占位符的方式,参数化输入的参数,防止Sql注入,一种是支持原生Sql的Statement,有Sql注入的风险。在使用Mybatis进行开发过程,隐藏了底层具体使用哪一种语句的细节,我们通过使用#和$告诉Mybatis,我们实际上进行的是怎么样的操作,需要对语句进行参...
模糊查询的字符串拼接
09-16
MyBatis,使用MySQL的模糊查询字符串拼接(like)的方法是使用concat()函数。concat()函数用于连接两个或多个字符串,可以将多个字符串拼接成一个字符串。在MyBatis,可以通过在SQL语句使用concat()函数来实现模糊查询。 以下是一个使用concat()函数进行模糊查询的例子: @Select("select * from user where name like concat('%',#{data},'%')") List<User> queryLikeByName(String data); 上述代码,%表示通配符,用于匹配任意字符。在查询,我们通过拼接字符串,在name字段的两侧加上%来实现模糊查询。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值