MyBatis 中拼接字符串的几种方式

最新推荐文章于 2024-03-30 13:26:08 发布
最新推荐文章于 2024-03-30 13:26:08 发布
阅读量1w 收藏 1
点赞数
文章标签: mybatis sql 数据库
原文链接:http://www.lovedmw.cn/post/20039.html
版权

一、使用 + 号进行拼接。

SELECT * FROM users WHERE id = 1 + 2;

在 SQL 语句中,+ 号用于进行字符串拼接,相当于将两个字符串连接在一起。在上面的 SQL 语句中,1 和 2 会先进行数值运算,然后再拼接成字符串,最终的 SQL 语句等价于:

SELECT * FROM users WHERE id = 3;

二、使用 CONCAT 函数进行拼接。

SELECT * FROM users WHERE name = CONCAT('a', 'b');

在 SQL 语句中,CONCAT 函数用于将多个字符串拼接在一起,相当于 + 号的功能。在上面的 SQL 语句中,CONCAT 函数接收了两个参数,分别为 'a' 和 'b',最终会将它们拼接成 'ab',最终的 SQL 语句等价于:

SELECT * FROM users WHERE name = 'ab';

三、使用 || 运算符进行拼接

SELECT * FROM users WHERE name = 'a' || 'b';

在 SQL 语句中,|| 运算符用于将两个字符串拼接在一起,它的作用与 + 号和 CONCAT 函数类似。在上面的 SQL 语句中,两个字符串 'a' 和 'b' 会被拼接在一起,最终的 SQL 语句等价于:

SELECT * FROM users WHERE name = 'ab';  复制代码

四、使用 $ 符号

在 MyBatis 中,拼接字符串还可以使用 $ 符号。例如:

SELECT * FROM users WHERE name = $name;

在 SQL 语句中, 符号用于指定一个字符串拼接,它会在 SQL 语句被执行前进行拼接。与 # 符号不同, 符号不会对输入值进行任何检查和转义,因此它可能会导致 SQL 注入攻击。在上面的 SQL 语句中,name将被拼接到sql语句中,如果name将被拼接到SQL语句中,如果name 的值为 'ab',则最终的 SQL 语句为:

SELECT * FROM users WHERE name = 'ab';

五、# 和 $ 符号

# 用于指定一个占位符,它会在 SQL 语句被执行前进行替换。在下面的 SQL 语句中,#{id} 将被替换为实际的 id 值:

SELECT * FROM users WHERE id = #{id};

如果 #{id} 的值为 1,则最终的 SQL 语句为:

SELECT * FROM users WHERE id = 1;

$ 符号

符号用于指定一个字符串拼接,它会在 SQL 语句被执行前进行拼接。与 # 符号不同, 符号不会对输入值进行任何检查和转义,因此它可能会导致 SQL 注入攻击。例如,在下面的 SQL 语句中,$id 将被拼接到 SQL 语句中:

SELECT * FROM users WHERE id = ${id};  复制代码

同样如果 $id 的值为 1,则最终的 SQL 语句为

SELECT * FROM users WHERE id = 1; 复

咋一看两者是一样的,那为什么推荐使用 # 符号呢?

区别 —— sql注入风险

Java

String sql = "SELECT * FROM users WHERE name = #{name}";  Map<String, Object> params = new HashMap<>(); params.put("name", "a' or '1' = '1");  // 执行 SQL 语句 SqlSession sqlSession = sqlSessionFactory.openSession(); List<User> users = sqlSession.selectList(sql, params);  复制代码

在执行上面的代码时,MyBatis 会将 #{name} 替换为参数映射中的值,最终的 SQL 语句为:

SQL

SELECT * FROM users WHERE name = 'a\' or \'1\' = \'1'; 复制代码

由于 # 符号会将参数值转义,因此它可以有效防止 SQL 注入攻击。

而 符号仅用于指定一个字符串拼接,它会在 SQL 语句被执行前进行拼接。与 # 符号不同, 符号不会对输入值进行任何检查和转义,因此它可能会导致 SQL 注入攻击。

Java

// 使用 $ 符号拼接字符串 String sql = "SELECT * FROM users WHERE name = ${name}";  Map<String, Object> params = new HashMap<>(); params.put("name", "a' or '1' = '1");  // 执行 SQL 语句 SqlSession sqlSession = sqlSessionFactory.openSession(); List<User> users = sqlSession.selectList(sql, params);  复制代码

例如,在同样的 SQL 语句中,name将被拼接到sql语句中,如果name将被拼接到SQL语句中,如果{name} 的值为 "a' or '1' = '1",则最终的 SQL 语句为:

SQL

SELECT * FROM users WHERE name = a' or '1' = '1; 复制代码

我们可以看到,拼接后没有带上引号;并且没有对 {name} 的值 "a' or '1' = '1" 进行转义。这可能恶意的sql注入发生。因此,建议使用 # 符号来指定占位符,而不是 符号来拼接字符串。

qq_34786108
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Mybatis各种模糊查询
ReturnMe的专栏
01-08 1万+
模糊查询: 工作用到,写三种用法吧   1. sql字符串拼接    SELECT * FROM tableName WHERE name LIKE CONCAT(CONCAT('%', #{text}), '%');   2. 使用 ${...} 代替 #{...}    SELECT * FROM tableName WHERE name LIKE '%${text}%';
mybatis Mapper.xml传参多选 字符串形式逗号分隔 AND拼接OR.rar
07-12
Mybatis Mapper.xml字符串形式传参,逗号分隔 AND拼接OR。
详解MyBatis模糊查询LIKE的三种方式
08-26
模糊查询也是数据库SQL使用频率很高的SQL语句,这篇文章主要介绍了详解MyBatis模糊查询LIKE的三种方式,非常具有实用价值,需要的朋友可以参考下
MyBatis 动态拼接Sql字符串的问题
09-01
MyBatis的动态SQL,解决了SQL字符串拼接的痛苦。下文分步骤给大家详细介绍了MyBatis 动态拼接Sql字符串的问题,非常不错,感兴趣的朋友一起看下吧
mybatis的xml拼接sql参数与字符串的方法,面试java对未来的规划
最新发布
2301_76190858的博客
03-30 338
整理的这些资料希望对Java开发的朋友们有所参考以及少走弯路,本文的重点是你有没有收获与成长,其余的都不重要,希望读者们能谨记这一点。其实面试这一块早在第一个说的25大面试专题就全都有的。以上提及的这些全部的面试+学习的各种笔记资料,我这差不多来回搞了三个多月,收集整理真的很不容易,其还有很多自己的一些知识总结。正是因为很麻烦,所以对以上这些学习复习资料感兴趣+学习的各种笔记资料,我这差不多来回搞了三个多月,收集整理真的很不容易,其还有很多自己的一些知识总结。
Mybatis 拼接字符串
gaozhonghua12的专栏
12-05 5113
MyBatis 拼接字符串的两种方式。 1、 使用CONCAT 函数 SELECT * FROM user WHERE name LIKE CONCAT(CONCAT('%', #{name}), '%') 2、 使用${ } 代替 #{ } SELECT * FROM user WHERE name LIKE '%${name}%' 说明:${ }会直接传入SQL,#{ }传入是...
mybatis字符串拼接
muranchenhui的博客
06-02 9473
MyBatis 拼接字符串有两种方式。1、 使用CONCAT 函数SELECT * FROM user WHERE name LIKE CONCAT(CONCAT(‘%’, #{name}), ‘%’)2、 使用${ } 代替 #{ }因为${ }直接传入SQL,而#{ }传入的是字符串带有引号SELECT * FROM user WHERE name LIKE ‘%${name}%’原因: #{}能够有效防止SQL注入,但是也有它的缺点,它会把传入的数据自动加上一个双引号,所以如果要的是数字的话,就会比
MyBatis mysql 字符串拼接
ahty的专栏
09-18 5405
MyBatis 拼接字符串有两种方式。 推荐使用: 1、 使用CONCAT 函数 SELECT*FROMuserWHEREnameLIKECONCAT(CONCAT('%', #{name}), '%') 不推荐使用: 2、 使用${ } 代替 #{ } 因为${ }直接传入SQL,而#{ }传入的是字符串带有引号 SELECT*FROMuserWHEREnameLIKE'%${name}%' 第二种方式不推荐使用不仅仅是因为它使用了$符,一定要注意...
mybatis 字符串拼接
hongbowu的专栏
03-29 1688
mybatis 字符串拼接
mybatis常见用法总结
weixin_41501825的博客
08-14 1629
mybatis常见用法总结~~
mybatis的xml拼接sql参数与字符串的方法
m0_67402731的博客
04-21 2434
场景 mybatis接口方法对应的xml文件的方法,需要使用模糊搜索, 查询以参数开头的记录。 错误的sql拼接: <if test="locationVO != null and locationVO.selected != null"> ??????????? and location.goods_location_number like #{locationVO.selected}+'%' </if> 这样拼接sql语句为: and location.goods_lo
OGNL mybatis
weixin_30387799的博客
06-17 251
http://www.mybatis.org/mybatis-3/zh/dynamic-sql.html 动态 SQL MyBatis 的强大特性之一便是它的动态 SQL。如果你有使用 JDBC 或其它类似框架的经验,你就能体会到根据不同条件拼接 SQL 语句的痛苦。例如拼接时要确保不能忘记添加必要的空格,还要注意去掉列表最后一个列名的逗号。利用动态 SQL 这一特性可以彻底摆脱...
Mybatis Oracle 的拼接模糊查询及用法详解
08-27
主要介绍了Mybatis Oracle 的拼接模糊查询及用法,非常不错,具有一定的参考借鉴价值,需要的朋友可以参考下
Mybatis3 if判断字符串变态写法
08-31
主要介绍了Mybatis3 if判断字符串变态的写法,非常不错,具有参考借鉴价值,需要的朋友参考下
mybatis 映射文件if标签判断字符串相等的两种方式
08-27
主要介绍了mybatis 映射文件if标签判断字符串相等的方式,非常不错,具有一定的参考借鉴价值,需要的朋友可以参考下
mybatis字符串比较
曹先森的博客
07-08 5943
同一个坑踏了两次了!!! <if test = " TYPE == '1' "> 这里的SQL并不能执行 </if> 因为 mybatis 使用的是ognl 表达式。 会把 1 解析为一个字符!!! 而不是字符串。所以java在比较的时候一直都是 false。 解决办法 1、 转换为字符串进行比较 <if test = " TYPE == '1' .toString()"> 转换为字符串进行比较 </if> 2、 使用双引号 “” <if
Mybatis学习笔记】Mapper.xml文件的#{}占位符和${}字符串拼接
q418030645的博客
02-14 6800
Mapper.xml文件SQL语句通常会用#{}占位符来指代传进来的参数,如 select * from user where u_id = #{id} 传递进来的参数会自动加上'',即上述的SQL语句等同于: select * from user where u_id = '参数' 由于会自动加上'',因此当要使用模糊查询的时候,可以使用${}来进行字符串拼接,如 SELEC...
mybatis 动态拼接 sql参数
weixin_43357106的博客
08-29 4835
mybatis 动态拼接参数
mybatis字符串拼接
08-31
MyBatis,多字符串拼接可以使用$符号和#符号来实现。使用$符号进行拼接时,可以直接将变量名或表达式插入到SQL语句,而不需要使用占位符。例如,可以这样拼接字符串:SELECT * FROM users WHERE name = $name; 然而,使用$符号进行拼接存在安全风险,容易受到SQL注入攻击的影响。因为在拼接后的SQL语句,没有对变量的值进行转义处理。如果用户恶意输入一些特殊字符,可能会导致应用程序执行意外的SQL语句。 为了避免SQL注入的风险,建议使用#符号来指定占位符,而不是使用$符号进行字符串拼接。使用#符号时,MyBatis会将占位符替换为参数映射的值,并对值进行自动转义,以确保SQL语句的安全性。因此,推荐使用#符号来进行多字符串拼接操作。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [MyBatis 拼接字符串几种方式](https://blog.csdn.net/qq_34786108/article/details/129964355)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值