MyBatis模糊查询的三种拼接方式

最新推荐文章于 2024-06-13 00:43:20 发布
最新推荐文章于 2024-06-13 00:43:20 发布
阅读量802 收藏 1
点赞数
分类专栏: 框架相关 文章标签: mybatis mysql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_47759220/article/details/108491028
版权

1. sql中字符串拼接

   SELECT * FROM tableName WHERE name LIKE CONCAT(CONCAT('%', #{text}), '%');

2. 使用 ${...} 代替 #{...}

   SELECT * FROM tableName WHERE name LIKE '%${text}%'; 

  ${}解析过来的参数值不带单引号,#{}解析传过来参数带单引号。

  使用第二种${}的拼接存在sql注入攻击的风险,例如例2中查询的是

 1' or 1=1 or '1

就会返回所有数据,这只是个最简单的方式,而在java代码中先拼接好字符串

然后#{text}传入能避免这个问题。

3. 程序中拼接

   Java

  // or String searchText = "%" + text + "%";

   String searchText = new StringBuilder("%").append(text).append("%").toString();

   parameterMap.put("text", searchText);

 

  SqlMap.xml

   SELECT * FROM tableName WHERE name LIKE #{text};

凌晨的路灯
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
MyBatis实现模糊查询的几种方式
weixin_43657553的博客
09-20 434
项目场景: 此处为SSM项目的实践,仅展示部分相关代码 controller层 BookController.java //查询书籍,模糊查询 @RequestMapping("/queryBookByName") public String queryBook(String queryBookName, Model model){ List<Book> list = bookService.queryBookByName("%"+queryBookName+"%"); mod
mybaits 模糊查询条件拼接的几种方式
zhaluo_dehezi的博客
09-16 1495
第一种 直接用${} 进行字符串拼接 但是有SQL注入的风险.所以不推荐使用 select * from user where username like '%${value}%' 第二种 使用#{value} 然后在业务层java代码将 % 拼接好 select * from user where username like #{value} 第三种 推荐使用 c...
Java --- mybatis处理模糊查询三种方式
qq_46093575的博客
06-01 3346
2、方式二 3、方式三(推荐使用)
MyBatis进行模糊查询SQL语句拼接引起的异常问题
最新发布
凉拌糖醋鱼
06-13 1020
在使用XML格式的Mapper配置SQL语句时,参数#{name}与"%"间如果不空空格的话,就会导致模糊查询错误,只要#{name}传入参数,则模糊查询必然无法查询到任何数据,通过使用CONCAT()函数或者在参数与"%"间添加空格可以避免该问题。
mybatis 动态sql拼接%模糊查询4种方式
just_learing的博客
05-07 3671
mybatis 动态sql拼接%模糊查询4种方式
MyBatis 实现模糊查询三种SQL拼接方式
demo_yo的博客
03-15 4261
1. sql字符串拼接 SELECT * FROM student WHERE name LIKE CONCAT(CONCAT('%', #{text}), '%'); 避免使用"${}"拼接,避免SQL注入。 2. 使用 ${} 拼接 SELECT * FROM student WHERE name LIKE '%${text}%'; ${}解析过来的参数值不带单引号,#{}解析传过来参数带单引号。 在Web项目,如果没有防范SQL注入的机制,要谨慎使用“${}”符号拼接SQL
MyBatis模糊查询的几种实现方式
Java程序媛,欢迎大家一起交流学习~
12-09 1万+
MyBatis模糊查询的几种实现方式,和应用遇到的问题。
详解MyBatis模糊查询LIKE的三种方式
08-26
MyBatis模糊查询LIKE的三种方式详解 MyBatis是一种流行的持久层框架,它提供了多种方式来实现模糊查询模糊查询是数据库SQL使用频率很高的SQL语句,通过MyBatis可以更加灵活地进行模糊查询。本文将详解MyBatis...
mybatis 模糊查询的实现方法
12-16
MyBatis模糊查询是一种常见的查询方式,特别是在数据搜索功能不可或缺。本文将详细介绍如何在MyBatis实现模糊查询,以及`#`和`$`的区别。 首先,让我们来理解`#`和`$`的区别。这两个符号在MyBatis用于...
Mybatis模糊查询和动态sql语句的用法
08-26
Mybatis模糊查询和动态sql语句的用法 Mybatis是当前最流行的Java持久层框架之一,它提供了强大的数据库交互功能,包括模糊查询和动态sql语句的支持。本文将详细介绍Mybatis模糊查询和动态sql语句的用法。 一、模糊...
MyBatis-plus 模糊查询的使用
09-07
在实际开发模糊查询是一种常见的查询方式,用于查找包含特定字符或模式的数据。MyBatis-plus提供了简单易用的模糊查询功能。 在MyBatis-plus模糊查询主要通过`QueryWrapper`类来实现。`QueryWrapper`是一个...
mybatis 模糊查询字符拼接(以mysql为例)
chouzizi的博客
08-06 2099
第一种: 使用mysql拼接函数,concat(),好处是使用#{}占位符可以防止sql注入,不好的地方是,如果换其他数据库的话,需要修改 <select id="list" parameterType="com.pkbin.blog_v2.blog.entity.MessageEntity" resultMap="messageMap"> select * from message <where> <if tes...
mybatismysql模糊查询like的拼接问题
qq_37358381的博客
11-09 667
mybatismysql模糊查询like的拼接问题 对于要传参数的sql,因为#{…}解析成sql语句时候,会在变量外侧自动加单引号’ ',直接加%会报错 使用concat来拼接参数和%来模糊查询 <select id="queryBookByName" resultType="Books"> select * from ssmbuild.books where bookName like concat('%',#{bookName},'
MyBatislike的使用
一万个小时
11-15 1462
1、参数直接添加%% param.setUsername("%CD%"); param.setPassword("%11%"); select id,sex,age,username,password from person where true AND username LIKE #{username} AND password LIKE #{password} 2、bin
mysql模糊查询字符串拼接
Planet
12-12 8024
SELECT * FROM info WHERE bookName LIKE CONCAT('%','天','%');
mybatis模糊查询like拼接问题
热门推荐
m0_37897396的博客
05-08 1万+
&lt;!-- ******************** 模糊查询的常用的3种方式:********************* --&gt; &lt;select id="getUsersByFuzzyQuery" parameterType="User" resultType="User"&gt; select &lt;include refid="columns&quot
MyBatis模糊查询sql拼接
曾义文的博客
12-06 5986
方法一: 在sql语句,使用 ${} 代替 #{} 。 #{}表示一个占位符,例如:#{id}--其的id表示要接入输入的参数,参数名称就是id,如果输入参数是简单类型,#{}的参数名可以任意,可以value或其它名称; ${}:表示拼接sql串,将接收到参数的内容不加任何修饰拼接sql,例如:${value}--接收输入参数的内容,如果传入类型是简单类型,${}只能使用va
Mybatis各种模糊查询
ReturnMe的专栏
01-08 1万+
模糊查询: 工作用到,写三种用法吧   1. sql字符串拼接    SELECT * FROM tableName WHERE name LIKE CONCAT(CONCAT('%', #{text}), '%');   2. 使用 ${...} 代替 #{...}    SELECT * FROM tableName WHERE name LIKE '%${text}%';
mybatis模糊查询几种方式 csdn
10-08
mybatis是一个在Java应用程序操作数据库的...总结起来,mybatis模糊查询的几种方式包括使用通配符:%和_、使用concat函数和使用动态SQL。通过这些方式,我们可以根据不同的需求进行模糊查询,并得到符合条件的结果。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值