MyBatis 中拼接字符串的几种方式

最新推荐文章于 2024-09-20 15:46:28 发布
最新推荐文章于 2024-09-20 15:46:28 发布
阅读量1.2w 收藏 3
点赞数
文章标签: mybatis sql 数据库
原文链接:http://www.lovedmw.cn/post/20039.html
版权

一、使用 + 号进行拼接。

SELECT * FROM users WHERE id = 1 + 2;

在 SQL 语句中,+ 号用于进行字符串拼接,相当于将两个字符串连接在一起。在上面的 SQL 语句中,1 和 2 会先进行数值运算,然后再拼接成字符串,最终的 SQL 语句等价于:

SELECT * FROM users WHERE id = 3;

二、使用 CONCAT 函数进行拼接。

SELECT * FROM users WHERE name = CONCAT('a', 'b');

在 SQL 语句中,CONCAT 函数用于将多个字符串拼接在一起,相当于 + 号的功能。在上面的 SQL 语句中,CONCAT 函数接收了两个参数,分别为 'a' 和 'b',最终会将它们拼接成 'ab',最终的 SQL 语句等价于:

SELECT * FROM users WHERE name = 'ab';

三、使用 || 运算符进行拼接

SELECT * FROM users WHERE name = 'a' || 'b';

在 SQL 语句中,|| 运算符用于将两个字符串拼接在一起,它的作用与 + 号和 CONCAT 函数类似。在上面的 SQL 语句中,两个字符串 'a' 和 'b' 会被拼接在一起,最终的 SQL 语句等价于:

SELECT * FROM users WHERE name = 'ab';  复制代码

四、使用 $ 符号

在 MyBatis 中,拼接字符串还可以使用 $ 符号。例如:

SELECT * FROM users WHERE name = $name;

在 SQL 语句中, 符号用于指定一个字符串拼接,它会在 SQL 语句被执行前进行拼接。与 # 符号不同, 符号不会对输入值进行任何检查和转义,因此它可能会导致 SQL 注入攻击。在上面的 SQL 语句中,name将被拼接到sql语句中,如果name将被拼接到SQL语句中,如果name 的值为 'ab',则最终的 SQL 语句为:

SELECT * FROM users WHERE name = 'ab';

五、# 和 $ 符号

# 用于指定一个占位符,它会在 SQL 语句被执行前进行替换。在下面的 SQL 语句中,#{id} 将被替换为实际的 id 值:

SELECT * FROM users WHERE id = #{id};

如果 #{id} 的值为 1,则最终的 SQL 语句为:

SELECT * FROM users WHERE id = 1;

$ 符号

符号用于指定一个字符串拼接,它会在 SQL 语句被执行前进行拼接。与 # 符号不同, 符号不会对输入值进行任何检查和转义,因此它可能会导致 SQL 注入攻击。例如,在下面的 SQL 语句中,$id 将被拼接到 SQL 语句中:

SELECT * FROM users WHERE id = ${id};  复制代码

同样如果 $id 的值为 1,则最终的 SQL 语句为

SELECT * FROM users WHERE id = 1; 复

咋一看两者是一样的,那为什么推荐使用 # 符号呢?

区别 —— sql注入风险

Java

String sql = "SELECT * FROM users WHERE name = #{name}";  Map<String, Object> params = new HashMap<>(); params.put("name", "a' or '1' = '1");  // 执行 SQL 语句 SqlSession sqlSession = sqlSessionFactory.openSession(); List<User> users = sqlSession.selectList(sql, params);  复制代码

在执行上面的代码时,MyBatis 会将 #{name} 替换为参数映射中的值,最终的 SQL 语句为:

SQL

SELECT * FROM users WHERE name = 'a\' or \'1\' = \'1'; 复制代码

由于 # 符号会将参数值转义,因此它可以有效防止 SQL 注入攻击。

而 符号仅用于指定一个字符串拼接,它会在 SQL 语句被执行前进行拼接。与 # 符号不同, 符号不会对输入值进行任何检查和转义,因此它可能会导致 SQL 注入攻击。

Java

// 使用 $ 符号拼接字符串 String sql = "SELECT * FROM users WHERE name = ${name}";  Map<String, Object> params = new HashMap<>(); params.put("name", "a' or '1' = '1");  // 执行 SQL 语句 SqlSession sqlSession = sqlSessionFactory.openSession(); List<User> users = sqlSession.selectList(sql, params);  复制代码

例如,在同样的 SQL 语句中,name将被拼接到sql语句中,如果name将被拼接到SQL语句中,如果{name} 的值为 "a' or '1' = '1",则最终的 SQL 语句为:

SQL

SELECT * FROM users WHERE name = a' or '1' = '1; 复制代码

我们可以看到,拼接后没有带上引号;并且没有对 {name} 的值 "a' or '1' = '1" 进行转义。这可能恶意的sql注入发生。因此,建议使用 # 符号来指定占位符,而不是 符号来拼接字符串。

仧凵
关注
mybatis字符串拼接
qq_42311613的博客
04-16 3940
业务场景,在sql进行字符串拼接,当时写的sql数据库运行可以查到数据,因此没有考虑sql,问题,一直在考虑参数绑定的问题, <select id="getProgramMenuDataList" resultType="com.iboyaa.synthetical.entity.dto.ProgramMenuDTO"> SELECT DISTINCT pm....
Mybatis各种模糊查询
热门推荐
ReturnMe的专栏
01-08 1万+
模糊查询: 工作用到,写三种用法吧   1. sql字符串拼接    SELECT * FROM tableName WHERE name LIKE CONCAT(CONCAT('%', #{text}), '%');   2. 使用 ${...} 代替 #{...}    SELECT * FROM tableName WHERE name LIKE '%${text}%';
MyBatis框架的使用与提升02
MatchaAha的博客
08-04 118
1 #和$的区别 #{}表示一个占位符号 通过#{}可以实现 preparedStatement 向占位符设置值,自动进行 java 类型和 jdbc 类型转换, #{}可以有效防止 sql 注入。 #{}可以接收简单类型值或 pojo 属性值。 可以自动对值添加 ’ ’ 单引号 ${}表示拼接 sql 串 通过${}可以将 parameterType 传入的内容拼接sql 且不进行 jdbc 类型转换, ${}可以接收简单类型值或 pojo 属性值,如果 parameterType 传输
MyBatis 动态拼接Sql字符串的问题
09-01
MyBatis的动态SQL,解决了SQL字符串拼接的痛苦。下文分步骤给大家详细介绍了MyBatis 动态拼接Sql字符串的问题,非常不错,感兴趣的朋友一起看下吧
配置数据库连接字符串MyBatis的XML文件
最新发布
2401_87463146的博客
09-20 359
【代码】配置数据库连接字符串MyBatis的XML文件。
MyBatis 拼接字符串
m0_67392273的博客
03-27 2801
MyBatis 拼接字符串有两种方式。 1、 使用CONCAT 函数 SELECT * FROM user WHERE name LIKE CONCAT(CONCAT(’%’, #{name}), ‘%’) 2、 使用${ } 代替 #{ } 因为${ }直接传入SQL,而#{ }传入的是字符串带有引号 SELECT * FROM user WHERE name LIKE ‘%${name}%’ ...
mybatis 字符串拼接
hongbowu的专栏
03-29 1836
mybatis 字符串拼接
MyBatis实现模糊查询的几种方式
08-27
MyBatis实现模糊查询的几种方式 MyBatis是一款流行的基于Java的持久层框架,它提供了强大灵活的方式来与数据库进行交互。在实际开发,我们经常需要实现模糊查询来满足业务需求。今天,我们将探讨MyBatis实现模糊...
Mybatis 拼接字符串
gaozhonghua12的专栏
12-05 5287
MyBatis 拼接字符串的两种方式。 1、 使用CONCAT 函数 SELECT * FROM user WHERE name LIKE CONCAT(CONCAT('%', #{name}), '%') 2、 使用${ } 代替 #{ } SELECT * FROM user WHERE name LIKE '%${name}%' 说明:${ }会直接传入SQL,#{ }传入是...
mybatis字符串拼接
08-31
- *1* *2* *3* [MyBatis 拼接字符串几种方式](https://blog.csdn.net/qq_34786108/article/details/129964355)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_...
Mybatis框架 mapper.xml文件parameterType传递参数常用的几种方式.pdf
10-18
以下是几种常用的parameterType参数传递方式以及#和$在Mybatis传参的区别。 1. 使用依次顺序传参: 在这种方式,参数按照顺序传递,SQL语句使用#{参数索引}来引用参数。例如,有一个查询用户的方法,用户名...
mybatis 字符串拼接
weixin_30648963的博客
06-01 1380
1 where hname like concat('%',#{selectword},'%') 字符串拼接,将%和selectword拼接成%selectword%2 ike '%'||#{selectword}||'%'https://www.cnblogs.com/dushan/p/4766954.html 转载于:https://www.cnblogs.com/myitdog/p/109...
MyBatis mysql 字符串拼接
m0_67391120的博客
03-22 1937
MyBatis 拼接字符串有两种方式。 推荐使用: 1、 使用CONCAT 函数 SELECT*FROMuserWHEREnameLIKECONCAT(CONCAT(’%’, #{name}), ‘%’) 不推荐使用: 2、 使用${ } 代替 #{ } 因为${ }直接传入SQL,而#{ }传入的是字符串带有引号 SELECT*FROMuserWHEREnameLIKE’%${name}%’ 第二种方式不推荐使用不仅仅是因为它使用了符,一定要注意,第二种方式是使用了模糊查询,并且符,一定要注意,第二种方
OGNL mybatis
weixin_30387799的博客
06-17 299
http://www.mybatis.org/mybatis-3/zh/dynamic-sql.html 动态 SQL MyBatis 的强大特性之一便是它的动态 SQL。如果你有使用 JDBC 或其它类似框架的经验,你就能体会到根据不同条件拼接 SQL 语句的痛苦。例如拼接时要确保不能忘记添加必要的空格,还要注意去掉列表最后一个列名的逗号。利用动态 SQL 这一特性可以彻底摆脱...
MyBatis动态拼接SQL
04-08
MyBatis动态拼接SQL
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值