java sql占位符_在java中直接拼接SQL,请问要用什么当占位符呢?SqlPara要怎么用呢?【已解決】...

最新推荐文章于 2024-05-21 14:36:42 发布
最新推荐文章于 2024-05-21 14:36:42 发布
阅读量548 收藏
点赞数
文章标签: java sql占位符
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_28756005/article/details/114059423
版权

-- 数据库命字段名不规范,历史遗留物。迟点再改。

SELECT

*

FROM

stock

WHERE

(stock.changjia LIKE '%冷板%' OR

stock.pinzhong LIKE '%冷板%' OR

stock.guige LIKE '%冷板%' OR

stock.caizhi LIKE '%冷板%' OR

stock.bianhao LIKE '%冷板%' OR

stock.zhongliang LIKE '%冷板%' OR

stock.cangku LIKE '%冷板%' OR

stock.beizhu LIKE '%冷板%')

AND

(stock.changjia LIKE '%DC03%' OR

stock.pinzhong LIKE '%DC03%' OR

stock.guige LIKE '%DC03%' OR

stock.caizhi LIKE '%DC03%' OR

stock.bianhao LIKE '%DC03%' OR

stock.zhongliang LIKE '%DC03%' OR

stock.cangku LIKE '%DC03%' OR

stock.beizhu LIKE '%DC03%')

AND

(stock.changjia LIKE '%Q3498%' OR

stock.pinzhong LIKE '%Q3498%' OR

stock.guige LIKE '%Q3498%' OR

stock.caizhi LIKE '%Q3498%' OR

stock.bianhao LIKE '%Q3498%' OR

stock.zhongliang LIKE '%Q3498%' OR

stock.cangku LIKE '%Q3498%' OR

stock.beizhu LIKE '%Q3498%')

我有一个关键词的参数:用户传进来然后用空格隔开的list,里面放的就需要查询的关键词。

for list{

每次循环,需要组装这个sql。

}

我想学习一下SqlPara  ,如果不用addSqlTemplate管理的情况下。直接在程序中怎么用什么来做占位符呢?如果直接用String + 关键词拼接的话,会有注入漏洞吧?

解决办法:public void searchSteelByFilter() {

String query = getPara("query");

Ret ret = new Ret();

if (query != null && !"".equals(query)) {

List queryLists = Splitter.on(" ").trimResults().splitToList(query.replaceAll(" +", " ").trim());

String sql = "SELECT * FROM stock WHERE";

SqlPara para = new SqlPara();

int i = 1;

for (String string : queryLists) {

sql = sql + "(stock.changjia LIKE concat('%', ?, '%') OR stock.pinzhong LIKE concat('%', ?, '%') OR stock.guige LIKE concat('%', ?, '%') OR stock.caizhi LIKE concat('%', ?, '%') OR stock.bianhao LIKE concat('%', ?, '%') OR stock.zhongliang LIKE concat('%', ?, '%') OR stock.cangku LIKE concat('%', ?, '%') OR stock.beizhu LIKE concat('%', ?, '%'))";

for (int j = 0; j 

para.addPara(string);

}

//判断是否最后一个,最后一个就不需要凭借AND了

if (i != queryLists.size()) {

sql = sql + "AND";

}

i = i + 1;

}

List stockList = Stock.dao.find(sql,para.getPara());

renderJson(stockList);

}else {

ret.put("erro", "请输入内容!");

renderJson(ret);

}

}

斌卡
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
jfinal学习:Enjoy Sql->#para需要注意的事
Adela0916的博客
07-19 844
#para 指令所到之处永远是生成一个问号占位符,并不是参数的值,参数值被生成在了SqlPara对象的paraList属性之,通过sqlPara.getPara()可获取。如果想生成参数值用一下模板输出指令即可:#(value) ...
jfinal sql管理与动态生成上(十五)
极客on之路
07-26 3663
本节学习目标主要是使用JFinal自带的Template Engin来实现对sql的管理。JFinalsql管理提供了3个指令#sql、#para、#namespace,来增强sql功能。 一、兵马未动,粮草先行 1、预定义sql模板 使用#sql指令和#end指令可以完成对sql模板的定义。#sql指令接收一个string类型的参数,用来作为该sql的唯一标识。下面我们来一起写...
Dao 模型 拼接sql 语句
最新发布
qq_43775634的博客
05-21 696
实体类生成建表语句。
JFinal SQL模板引擎-实例篇
探_无止境的博客
05-15 1730
1. 简介 JFinal 是基于 Java 语言的极速 WEB + ORM + AOP + Template Engine 框架,其核心设计目标是开发迅速、代码量少、学习简单、功能强大、轻量级、易扩展、Restful。在拥有Java语言所有优势的同时再拥有ruby、python、php等动态语言的开发效率!为您节约更多时间,去陪恋人、家人和朋友 ???? JFinal利用自带的 Enjoy Template Engine 极为简洁的实现了 Sql 模板管理功能。一如既往的极简设计,仅有 #sql、#para
【MyBatis学习】占位符,sql注入问题,like模糊匹配等可能出现一定的问题,赶快与我一同去了解,避免入坑吧 ! ! !
m0_58097299的博客
06-17 3069
【MyBatis学习】占位符,sql注入问题,like模糊匹配等可能出现一定的问题,赶快与我一同去了解,避免入坑吧 ! ! !
上传图片后使用数据库保存图片的示例分享
10-26
在本文,我们将深入探讨如何在Web应用实现上传图片并将其存储到数据库的过程。这个过程通常涉及前端用户界面、服务器端处理以及数据库操作。以下是一个具体的示例,展示了如何使用ASP.NET处理图片上传并将其保存...
Java连接数据库JDBC实现模糊查询like
小新的博客
07-25 1811
第一种方式:直接SQL语句进行拼接,此时需要注意的是“参数”在SQL语句要用单引号拼接起来 String sql = "select * from bookinfo where bname like '%" + 参数 + "%'"; 第二种方式: 使用占位符,在占位符赋值...
JavaSQL语句占位符的使用
星河Dac
01-26 8079
SQL语句使用?来代替具体的数值,可除去繁琐的字符串拼接操作,且可避免SQL注入的风险
Javasql语句%s占位符使用
奔跑你个Run
12-07 3154
占位符/占位符/占位符 一般搭配 String.format()方法使用。 String url = “我的名字是%s,今年%s岁。”; String name = “小李”; String age = “22”;url = String.format(url,name,age); System.out.println(url); 输出: 我的名字是小李,今年22岁。 format()后的参数里,第二、三个参数分别对应第一个参数的第一个占位符和第二个占位符。 ...
字符串拼接占位符
P2594048731的博客
06-22 352
在用Javasql语句时传统的方式有字符串拼接它使用一个个字符拼接而成,如下是我写的一个sql插入语句,它就是使用了字符串拼接,可以看到它很长,而且不容易理解。
JAVA计算字符串数学表达式及SQL占位符处理
weixin_47425074的博客
03-22 444
mySql分页:limit #{(${currentPage} - 1) * ${pageSize}}, ${pageSize}输入字符串长度不超过 100 ,合法的字符包括 ”+, -, *, /, (, )” , ”0-9”。传入初始的带占位符sql语句和参数,替换占位符并计算sql的表达式后返回最终可执行的sql。入参:"(5-1)*3" :输出:12。每页显示记录数:${pageSize}当前页:${currentPage}入参:"16/2" :输出:8。字符串占位符:'${}'
二、SQL注入使用占位符解决、JDBC工具类、封装
H215919719的博客
09-19 1354
③ 隔离性 行锁 事务的隔离性是指在并发环境,并发的事务是互相隔离的,一个事务的执行不能被其它事务干扰。② 一致性(Consistency) 事务的一致性是指事务的执行不能破坏数据库数据的完整性和一致性,一个事务在执行之前和执行之后,数据库都必须处以一致性状态。任何一项操作都会导致整个事务的失败,同时其它已经被执行的操作都将被撤销并回滚,只有所有的操作全部成功,整个事务才算是成功完成。一个事务内部的操作及使用的数据对其它并发事务是隔离的,并发执行的各个事务是不能互相干扰的。
Java SQL语句占位符以及控制台输出变量
qq_42391503的博客
07-30 681
SQL语句的变量 1. String sql = "select * from k_user where userno='" + userno + "' and pwd='" + pwd + "'"; 2. String sql = "select * from k_user where userno=? and pwd=?"; 第一种方法 “+变量+” 第二种方法 ?占位符 控制台输出占位符 第一种:使用%s占位,使用String.format转换 public class Test { pu
Mapper.xml的SQL语句占位符${}和#{}
weixin_65837469的博客
03-18 1186
{}:预编译#{}在mybatis,最后会被解析为?,其实就是Jdbc的PreparedStatement的?占位符,它有预编译的过程,会对输入参数进行类型解析(如果入参是String类型,设置参数时会自动加上引号),可以防止SQL注入,如果parameterType属性指定的入参类型是简单类型的话(简单类型指的是8种java原始类型再加一个String),#{}的变量名可以任意,如果入参类型是pojo,比如是Student类那么#{name}
SQL注入、占位符拼接
喜欢猪猪
06-03 3010
目录 一、什么是SQL注入 二、Mybatis占位符拼接符 三、为什么PreparedStatement 有效的防止sql注入? 一、什么是SQL注入 官方: 所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意的)SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQ..
jfinalsql语句的in关键字
hellorichen的专栏
02-02 4238
1.错误写法 List list = Db.find("SELECT id FROM b_product_detail_phone WHERE productid = 123 AND id NOT IN (?)", "147,148");查询结果包括148,即参数并未全部识别147,148,仅识别了147,无法分辨是几个参数。 正确写法: 1.全部字符串拼接 List list = Db.
SqlParamter用法
信息技术提高班第九期
02-27 2764
这几天在Sql命令嵌入变量,用SqlParameter数组传值,代码如下: ''' ''' 增加卡信息函数 ''' ''' 实体类 ''' 返回Boolean类型,是否添加成功 ''' Public Function AddCard(card As CardEntity) As Boolean Implements ICard.Add
sqlparamer
xingxingsuhuan的专栏
06-01 544
自己原来的代码习惯,是不正确的~所以以后用sqlparamer了~呵呵~一定要好好学习~
SqlParameter[] sqlpara = new SqlParameter[4];
06-10
在这个示例,我们首先创建了一个长度为 2 的 SqlParameter 数组,并向其添加两个 SqlParameter 对象,分别代表 Country 和 City 参数。接着,我们创建了一个 SqlCommand 对象,并将查询语句和 SqlConnection ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值