Mybatis的模糊查询、sql注入

1、Mybatis的模糊查询

UserDao接口

 //模糊查询
    public  List<User> findUserByName(String username);
MyBatisTest.java 文件
//模糊查询
    @Test
    public void testFindUserByName(){
        String resource = "mybatis-config.xml";
        inputStream = Resources.getResourceAsStream(resource);
        SqlSessionFactory sessionFactory = new 
        SqlSessionFactoryBuilder().build(inputStream);
        sqlSession = sessionFactory.openSession();
        userDao = sqlSession.getMapper(UserDao.class);
        List<User> userList = userDao.findUserByName("张");
        for (User user : userList) {
            System.out.println(user);
        }
         //关流
        sqlSession.close();
        inputStream.close();

    }

UserDao.xml配置文件

<!--模糊查询-->
    <select id="findUserByName" parameterType="string" resultType="com.by.pogo.User">
        <!-- select * from user where username like concat('%',#{username},'%') -->
        select * from user where username like '%${value}%'<!--${}括号中只能是value-->
    </select>

模糊查询有两种方法,一种使用concat()方法拼接,一种是使用'%${value}%'

2、#{}和${}区别
                     底层                          jdbc类型转换(自动加’) sql注入      单个简单类型参数
    #{}             preparedStatement              转换                     防止              任意
    ${}             S     tatement                           不转换                  不防止           value

建议除模糊查询外,尽量不适用${}

  • #{}符

    1. #{}表示一个占位符号 通过#{}可以实现 preparedStatement 向占位符中设置值,自动进行 java 类型和 jdbc 类型转换

    2. #{}可以接收简单类型值或 pojo 属性值。 如果 parameterType 传输单个简单类 型值,#{}括号中可以是 value 或其它名称。

    3. #{}可以有效防止 sql 注入。

  • ${}符

    1. ${}表示拼接 sql 串 通过${}可以将 parameterType 传入的内容拼接在 sql 中且不进行 jdbc 类型转换

    2. ${}可以接收简单类型值或 pojo 属性值,如果 parameterType 传输单个简单类型值,${}括号中只能是 value

3、sql注入

MyBatisTest.java 文件
//sql注入
    @Test
    public void testLogin(){
        UserDao userDao = sqlSession.getMapper(UserDao.class);
        User userInfo = new User();
        userInfo.setUsername("张三丰' #");
        userInfo.setPassword("123");
        User user = userDao.login(userInfo);
        System.out.println(user);
    }

UserDao 接口

//sql注入
    public User login(User user);

UserDao.xml 文件

 <!--sql注入-->
    <select id="login" parameterType="com.by.pogo.User" resultType="com.by.pogo.User">
        select * from user where username = '${username}' and password = '${password}'
    </select>

相当于数据库执行了下面语句sql语句 ,使用“#”号忽略掉了密码字段,查询到用户信息

  • 14
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值