Mybaits中Like 的使用方式以及一些注意点

最新推荐文章于 2024-06-18 23:33:09 发布
最新推荐文章于 2024-06-18 23:33:09 发布
阅读量592 收藏 1
点赞数 1
分类专栏: mybatis 文章标签: Mybaits中Like 的使用方式以及一些注意点 mybatis模糊查询
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39720208/article/details/102659831
版权

模糊查询在项目中还是经常使用的,本文就简单整理Mybatis中使用Like进行模糊查询的几种写法以及一些常见的问题。

方式一

在Mybatis中的第一种写法:

<!--有sql注入问题--> 
<select id="findUserByLikeName1" parameterType="java.lang.String" resultMap="user">
     select * from t_user where name like '%${name}%' 
</select> 

这种会有sql注入的问题,需要明白在 Mybatis中 $ 和 # 使用的区别。这种写法也不能加jdbcType=VARCHAR,否则也会报错。

做了个简单的测试:

@Test 
public void findUserByLikeName1(){ 
List<User> test = userMapper.findUserByLikeName1("Cloud"); 
//select * from t_user where name like '%Cloud%'
 System.out.println(test.size());
// 查出一条 List<User> test1 = userMapper.findUserByLikeName1("' or '1=1"); 
//select * from t_user where name like '%' or '1=1%' // 分析: '1=1%' 成立 System.out.println(test1.size());
// 查出了全部数据 
} 

注意:排序的字段也容易出现这个问题,在使用的时候也一定要注意。

order by ${orderBy}

第一种方式在实际开发过程中千万要注意,不要写成这样了。

方式二

在Mybatis中的第二种写法:

<!--直接在代码中拼接%, 不存在sql注入-->
 <select id="findUserByLikeName2" parameterType="java.lang.String" resultMap="user">
     select * from t_user where name like #{name,jdbcType=VARCHAR}
 </select> 

 

在代码中加上%。

@Test 
public void findUserByLikeName2(){ 
String name = "Cloud"; List<User> test = userMapper.findUserByLikeName2("%" +name+"%");
 // select * from t_user where name like ? // %Cloud%(String) System.out.println(test.size()); 
} 

这种方式在一些项目中也会看到。如果没有使用如Mybatis等ORM框架,直接写sql查询就这样拼接了。

方式三

在Mybatis中的第三种写法:

<!--concat Mysql和 Oracle区别 ,不存在sql注入--> 
<select id="findUserByLikeName3" parameterType="java.lang.String" resultMap="user"> 
    select * from t_user where name like concat('%',#{name,jdbcType=VARCHAR},'%')
 </select> 

测试:

@Test 
public void findUserByLikeName3()
{ 
    String name = "Cloud"; List<User> test = userMapper.findUserByLikeName3(name); 
    // select * from t_user where name like concat('%',?,'%')
     // Cloud(String) 
    System.out.println(test.size());
 } 

在实际开发中推荐使用这种方式。

小注意

当使用方式三的时候,如果查询的关键字就是% ,那情况会是什么? 初始化数据中name有9条数据中包含%。

查询的sql如下:

select * from t_user where name like concat('%','%','%')

查出来全部的数据,并不是只包含了%的数据,如果查询_也是一样的。

那这种情况肯定是不满足查询需求的,则需要调整。

①在代码中进行转义

@Test 
public void findUserByLikeName3(){ 
    String name = "%"; 
    name = name.replaceAll("_", "\\\\_"); 
    name = name.replaceAll("%", "\\\\%"); 
    List<User> test = userMapper.findUserByLikeName3(name); 
    System.out.println(test.size()); 
}

②使用ESCAPE

<select id="findUserByLikeName4" parameterType="java.lang.String" resultMap="user"> 
    select * from t_user where name like concat('%',#{name,jdbcType=VARCHAR},'%') ESCAPE             
   '/' 
</select> 

测试:

@Test 
public void findUserByLikeName4(){ 
    // replaceAll("%", "/%").replaceAll("_", "/_") 
    String name = "%"; 
    List<User> test = userMapper.findUserByLikeName4(name);         
    System.out.println(test.size());
    // 查到全部 
    List<User> test1 = userMapper.findUserByLikeName4("/" +name);         
    System.out.println(test1.size());//查到匹配%的记录 
} 

这两种本质都是对查询的关键字进行了处理,这种处理在代码中可以使用拦截器或者AOP等技术统一处理。

小总结

1、不要写方式1的这种模糊查询,容易发生sql注入!

建议使用第三种方式进行模糊查询

2、上面这三种模糊查询,都是使用%关键字%,这种方式是不会走索引的,大数据量时候有查询效率问题

看情况,可以使用全文索引;或者使用ES进行

说明:网上有一些优化like的查询的,但是亲测后没啥用

3、注意关键词中有%、_这些特殊字符如何处理。

1、业务上不允许输入这些字符,直接过滤(前台、后台过滤)

2、使用上面的ESCAPE或者转义

Coder搬砖工
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
MyBaits以Debug流程方式进行源码分析
12-14
4. **动态SQL**:MyBatis允许在XML使用条件标签(if、choose、when、otherwise等)编写动态SQL,提高代码的可复用性。 5. **结果映射**:MyBatis可以自动将查询结果映射到Java对象,支持一对一、一对多、多对一等...
详解在springboot使用Mybatis Generator的两种方式
08-26
在SpringBoot项目,我们可以采用两种方式来配置和使用MBG:XML配置和Java配置类。 首先,我们需要在项目的`pom.xml`文件添加MBG的依赖: ```xml <groupId>org.mybatis.generator <artifactId>mybatis-...
mybatislike用法
Clarence_Pang的博客
11-28 273
MyBatisLike语句使用方式 Oracle SELECT * FROM user WHERE name LIKE CONCAT(’%’,#{name},’%’) 或 SELECT * FROM user WHERE name LIKE ‘%’||#{name}||’%’ SQL Server SELECT * FROM user WHERE name LIKE ‘%’+#{name...
Mybatis的like模糊查询
phantomes的专栏
07-16 676
今天在查询用户信息时需要用到模糊查询,发现mybatis的like查询不能按我们平常的sql方式那样写,查阅资料后才知道mybaits的方式特殊,见如下代码: select * from User u where u.name like "%"#{name}"%"; 传参数的方式和其它相同。
Mybatis like查询转义
最新发布
NestorBian的博客
06-18 207
日常开发工作会存在前端模糊查询的功能,这样前端传递过来模糊查询关键字就可能造成sql注入风险,比如:前端传递过来name=%,最终sql条件为name like ‘%%%’。这样就会查询出所有记录,而不是包含%的记录。与预期不符合。所以我们需要针对前端传递过来的模糊查询值做转义处理。
mybatis简单模糊查询(like)
小鱼干换AC的博客
10-11 858
模糊查询(like) 在Java代码指定like的内容 //StudentDao.java List<Student> selectLikeOne(String name); //StudentMapper.xml <select id="selectLikeOne" resultType="com.domain.Student"> select * from Student where name like #{name} </select> //test.j
Mybaits模糊查询like注意(#与$)
轻松玩编程
06-15 853
如果采用: Like '%#{参数}$' 会报错,因为#{parameterName}引用参数的时候,Mybatis会把这个参数认为是一个字符串,并自动加上‘’ 而采用以下方法: Like '%${参数}$' 可以解决! 但是: #{}是经过预编译的,是安全的。 而${}是未经过预编译的,仅仅是取变量的值,是非安全的,存在SQL注入。 解决方法:连接字符串,取出间的‘字符 使用concat函数解决问题! LIKE concat(concat('%',#{参数}),'%') MySQLconca
Mysql模糊查询之LIKE CONCAT('%',#{name},'%')
Zero_uou的博客
02-18 6万+
众所周知,SQL语句的like模糊查询   select * from table where name like‘%张蛋%’, 但实际开发经常用到 select * from table where name  like concat(#{name},'%') 比如根据用户名或手机号模糊查找用户 (us.nick_name LIKE CONCAT('%',#{keyWord},'%'...
Mybatis的like模糊查询功能
08-31
这样的写法同样可以实现模糊查询,但需要注意的是,不同的数据库可能有不同的字符串拼接函数,例如在Oracle,你可能需要使用`||`操作符。 总结,Mybatis提供的这些模糊查询方式使得开发者可以根据实际需求灵活...
springboot数据访问之整合Mybaits(使用配置文件的方式
01-26
本篇文章将深入探讨如何使用配置文件的方式MyBatis与Spring Boot结合,以便在后端开发进行便捷的数据操作。首先,我们需要了解一些基本概念。 1. **Spring Boot**: 是一个基于Spring框架的快速开发工具,它简化...
MyBaits Plus
03-06
MyBaits Plus
mybatismybatis like的用法
Mrerlou的博客
06-16 2万+
前言: mybatis xml文件的sql语句需要使用到 like 语法,这里简单的学习一下。 使用: #{...} like "%"#{...}"%" 如下所示: <select id="getCatalogDatabaseByName" resultMap="ImpalaCatalogDatabaseResult" parameterType="java.lang.String"> select t1.database_name, t1.comment, t2.`gr
mybatis like的两种写法
喝泉水的泉
12-20 2884
第一种: 在java程序,把like的内容组装好。 把这个内容传入到sql语句 //like第一种方式 List<Student> selectLikeOne(@Param("name") String name); mapper <!--like第一种方式--> <select id="selectLikeOne" resultType="com.nefu.domain.Student"> select * from student where name l
MyBatis之Like模糊查询的两种实现方式
yuanjinshenglife的专栏
02-15 2824
MyBatis之Like模糊查询的两种实现方式
mybatislike的用法
yuying_1_23的博客
08-21 2061
甲骨文数据库: SELECT * FROM user WHERE 名称,如CONCAT('%',#{name},'%'或 SELECT * FROM user WHERE name lika'%'||#{name} ||'%' mysql数据库: SELECT * FROM user WHERE 名称,如CONCAT( '%#(名称),' %'):: ...
like mybatis 用法_MybatisLike 的使用方式以及一些注意
weixin_42298645的博客
12-24 863
做一个积极的人编码、改bug、提升自己我有一个乐园,面向编程,春暖花开!模糊查询在项目还是经常使用的,本文就简单整理Mybatis使用Like进行模糊查询的几种写法以及一些常见的问题。使用Springboot简单配置一下Mybatis,然后进行说明。Springboot集成Mybatis这里就不做介绍了。初始数据方式一在Mybatis的第一种写法:select * from t_user w...
mybaties 多个参数传参的三种解决方案
无怨无悔专栏
03-10 1264
最近项目要使用mybaties开发,遇到了传参数问题。现在有三种方案可解决:  1.DAO层的函数方法  1 Public Area selectArea(String name,String area); 对应的Mapper.xml   ? 1 2 3     selec
mybatisxml开发like的几种写法
xzj80927的博客
05-09 2万+
方法1:concat <where> <trim suffixOverrides="," > <if test="id != null and id != ''" > and id = #{id} </if> <if test="name != null...
关于mybatisllike模糊查询#和$的使用
热门推荐
长河的博客
10-14 14万+
mybatis经常要写到like 查询,以前从来没有遇到什么问题,突然遇到一个问题,找了好长时间没找到,最后找到了,是关于#和$的使用的,总结如下: name like 表达式 and falg=#{falg} 本次示例共两个条件,一个是name like 表达式, 还有flag相等,这个是使用#{}占位符,没有任何问题,关键问题就是 表达式的书写.下面来研究下表达式的...
mybaits使用的常见问题以及解决办法
06-02
MyBatis使用过程,常见的问题及解决办法如下: 1. SQL注入问题:由于MyBatis使用的是动态SQL,如果SQL语句存在恶意代码,就可能导致SQL注入问题。解决办法是使用MyBatis提供的参数处理功能,将参数转换为安全...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值