防止前台传符号MyBatis处理xml文件中的SQL条件问题

最新推荐文章于 2023-08-24 16:32:48 发布
最新推荐文章于 2023-08-24 16:32:48 发布
阅读量122 收藏
点赞数
分类专栏: Java 文章标签: mysql xml MyBatis
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36859561/article/details/108003518
版权

问题如下所示,当你以中文形式输入时,没有输鼠标往旁边一点,输入框的字符就会带入单引号,然后传入后台,以至于报错

后台如图所示:

 

第一种方式就会出现报错问题,如下所示:

  <if test="ew.shipperNo != null and  ew.shipperNo !='' ">
      and a.shipper_no like '%${ew.shipperNo}'
  </if>

 

第二种方式不会出现报错问题,如下所示:

  <if test="ew.shipperNo != null and  ew.shipperNo !='' ">
       and a.shipper_no like concat('%',#{ew.shipperNo},'%' )
  </if>

 

 第三种方式不会出现报错问题,如下所示:

 

  <if test="ew.shipperNo != null and  ew.shipperNo !='' ">
      and a.shipper_no like "%"#{ew.shipperNo}"%"
  </if>

喔用的是第二种比较好,喔推荐也用第二种以函数方式衔接。

john5205
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
mybatis xml特殊字符处理及特殊符号
08-27
主要介绍了mybatis xml特殊字符处理mybatis特殊符号处理技巧,mybatis特殊符号处理给大家介绍了两种写法,感兴趣的朋友一起看看吧
mybatis模糊查询去除特殊符号%(百分号)和_(下划线)
热门推荐
gm371200587的博客
07-26 1万+
在使用mybatis的模糊查询时,有俩个特殊符号需要注意: %:相当于任意多个字符; _:相当于任意的单个字符; 根据需求可以选择甄别,如果有要求排除特殊符号,那么写法如下: 在控制层接收到对应值得地方,加入replaceAll(): if(param != null){ map.put("param", param.replaceAll("%", "/%").rep...
mybatis模糊查询防止通配符注入
一只渣渣程序猿
08-23 854
模糊查询一般这么写 <if test="dto.specialSubjectName !=null and dto.specialSubjectName !=''"> AND a.materials_name LIKE CONCAT('%',#{dto.specialSubjectName},'%') </if> 问题: 当用户输入了% _ 等通配符之后,若后端不进行过滤处理的话,到数据库就是这个样子的。 AND a.materials_name LIKE '%.
MyBatis进阶:告别SQL注入!MyBatis分页与特殊字符的正确使用方式
最新发布
万维网连五洲,二进制写尽天下事,喜欢结识新伙伴寻找志同道合的朋友,欢迎一起探讨学习
08-24 902
本文将介绍MyBatis分页与特殊字符的正确使用方式,帮助开发者避免常见的安全风险。通过学习正确的配置和使用方法,我们可以提高应用程序的安全性和稳定性。掌握这些技巧,让我们期待更顺畅的开发过程!
【Java字符操作】避免模糊查询%等占位符时无效
Big Smile
03-17 1895
编程语言:java框架:SSM模糊查询实现方式:&lt;if test="goodsCode != null"&gt; and (goods_code like CONCAT(CONCAT('%', #{goodsCode}), '%') &lt;/if&gt;用concat拼接mybatis下来的值拼接到sql效果:        在搜索框输入%字符时,即使数据有带%的数据,...
MyBatis 特殊字符转义拦截器 针对(_、\、%)
zhouzhiwengang的专栏
04-27 4513
一、问题反馈 今天公司测试向我反馈,系统用户模糊查询功能在用户名称包含特殊字符时(_、\、%)无法正常查询结果。 二、问题验证 1、当like包含_时,查询仍为全部,即 like '%_%'查询出来的结果与like '%%'一致,并不能查询出实际字段包含有_特殊字符的结果条目 2、like包括%时,与1相同 3、like包含\时,带入查询时,%\%无法查询到包含字段有\的条目 三、问题解决思路 1、采用MyBatis 拦截器机制,处理模糊查询包含特殊字符(_、\、%) 四、核心
MyBatis SQL xml处理小于号与大于号正确的格式
01-19
这样的问题在iBatiS或者自定义的xml处理sql的程序经常需要我们来处理。其实很简单,我们只需作如下替换即可避免上述的错误: 原符号  <  <=  >  >=  &  ‘  “ 替换符号 < <= > >= & ' ...
mybatis-config.xml文件配置问题
01-20
Question one:mybatis配置文件标签组成及排序 Caused by: org.apache.ibatis.builder.BuilderException: Error creating document instance. Cause: org.xml.sax.SAXParseException; lineNumber: 99; column...
mybatis映射XML文件详解及实例
09-09
主要介绍了mybatis映射XML文件详解及实例的相关资料,需要的朋友可以参考下
IDEA 去除 mybatis.xml 文件黄色警告的图文教程
08-18
主要介绍了IDEA 去除 mybatis.xml 文件黄色警告的方法,本文通过图文并茂的形式给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
mybatis模糊查询特殊符号%(百分号)和_(下划线)不转义
qq_28433521的博客
06-02 3671
在使用mybatis的模糊查询时,有两个特殊符号需要注意: %(百分号):相当于任意多个字符; _(下划线):相当于任意的单个字符; 处理方法: 1: (查询条件参数,比如"xx%_x")param.replaceAll("%", "/%").replaceAll("-", "/-") 2-1: select * from table where column like concat('%',#{param},'%') escape '/'; 2-2: vc.title like conc
mybatis 绑定参数不带引号(${}与#{}的区别)
Bejpse的博客
08-22 3744
默认情况下,使用#{}参数语法时,MyBatis 会创建PreparedStatement参数占位符,并通过占位符安全地设置参数(就像使用 一样)。这样做更安全,更迅速,通常也是首选做法,不过有时你就是想直接在 SQL 语句直接插入一个不转义的字符串。当 SQL 语句的元数据(如表名或列名)是动态生成的时候,字符串替换将会非常有用。提示用这种方式接受用户的输入,并用作语句参数是不安全的,会导致潜在的 SQL 注入攻击。其${column}会被直接替换,而#{value}会使用预处理
mybatis foreach 错误_MyBatis 动态SQL where/if/choose/bind介绍
weixin_39541189的博客
11-28 192
当我们需要写复杂的 SQL 语句,往往需要拼接,而拼接 SQL ,稍微不注意,由于引号,空格等缺失可能都会导致错误。  那么怎么去解决这个问题呢? 我们可以使用mybatis的 动态SQL,通过 if, choose, when, otherwise, trim, where, set, foreach等标签,可组合成非常灵活的SQL语句,从而在提高 SQL 语句的准确性...
xml文件sql语句问题
weixin_44706350的博客
05-14 797
nested exception is org.apache.ibatis.type.TypeException: Could not set parameters for mapping: ParameterMapping{property=‘path1’, mode=IN, javaType=class java.lang.String, jdbcType=null, numericScale=null, resultMapId=‘null’, jdbcTypeName=‘null’, expressi
mybatis相关记录:参数获取${}、#{},#{}是如何防止注入的?批处理插入和更新
weixin_43019537的博客
06-22 861
顺便贴下JDBC:JDBC编程之预编译SQL与防注入、JDBC连接如何防止SQL注入?参考:映射体系之ResultMap原理
mybatis递参数时,会加上单引号
lixilai_rjkf的博客
11-26 3301
1) 使用#{参数}入会加上单引号,sql语句解析是会加上"", 比如 select * from table where name = #{name} ,入的name为小李,那么最后打印出来的就是 select * from table where name = ‘小李’,就是会当成字符串来解析,这样相比于$的好处是比较明显对的吧,#{}参能防止sql注入,如果你入的参数为 单引号',那么如果使用${},这种方式 那么是会报错的, 2)${} 另外一种场景是,如果你要做动态的排序,比如..
前后台递参数出现+、空格、=、%、&、#等字符的解决办法
专注机床数据采集程序传输,机械加工行业数字化系统
04-07 6056
前后台递参数出现+、空格、=、%、&、#等字符的解决办法 一、描述问题递的参数含有+、空格、=、%等字符的时候,前台将参数给后台的时候,就会对其进行编码,具体如下: URL +号表示空格 %2B 空格 URL的空格可以用+号或者编码 %20 / 分隔目录和子目录 %2F ? 分隔实际的URL和参数
MybatisSqlxml报错SQL String cannot be empty
一切总会归于平淡
03-28 1302
因为在xml配置了标签导致了标签没有可以生效的sql代码了,会爆出这个异常,仔细检查xmlsql代码,。 例如: 像这个if标签,如果一开始前端就没有params.type的参数进来,那标签里面的sql语句也就不会执行了。 ...
java.io.CharConversionException:EOF异常(先贴进来,有时间修改)
iteye_3042的博客
06-30 411
           最近在项目开发遇到java.io.CharConversionException:EOF 异常,异常原因是:character  decoding failed. Parameter skipped. 即对所参数时字符编码解析失败。        有时引起的原因可能是:httpServletRequest对象的键值对包含:“%”。       ...
Mybatis xml文件sql语句时大于、大于等符号
05-25
MybatisXML 文件,可以使用 `、`>`、`、`>=` 等符号来表示比较运算符。但是,由于这些符号XML 有特殊含义,因此需要进行转义。 具体来说,可以使用以下转义符: - `;` - `>`:`>` - `;=` - `>=`...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值