为什么不能在SQL拼接模糊匹配符号

最新推荐文章于 2024-01-31 16:45:07 发布
最新推荐文章于 2024-01-31 16:45:07 发布
阅读量196 收藏
点赞数
分类专栏: 笔记 技术指导 文章标签: sql 数据库 mybatis
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_38565317/article/details/121190980
版权

答案:因为会引起SQL注入

什么是SQL注入

SQL注入就是将原本的SQL语句逻辑结构改变,使得SQL语句的执行结果和原本意图不一一致。

例如:

select * from t_sys_user where name =  'admin' and pasword = '123456'

实际查询时Statement语句执行会将SQL语句按照字符串拼接,结果如下:
“select * from t_sys_user where name = " +“admin” + " and pasword = " + 123456” ;

如果我们把 or 1 = 1 作为 pasword 的参数传入,Statement执行查询的时SQL变成:
"select * from t_sys_user where name = " +“admin” + " and pasword = " + “or 1 = 1” ;

根据SQL编译顺序,如果where 后面有or条件的话,则or自动会把左右的查询条件分开,“or 1 = 1” 条件永远成立, 所以,前面的where 、and 条件已经不起作用了。

如何避免SQL注入

在Mybatis中 #{} 是预编译处理, KaTeX parse error: Expected 'EOF', got '#' at position 27: …编译处理。Mybatis在处理#̲{}时,会将SQL中的#{}替…{}时,就是把${}替换成变量的值,所以编写SQL时要避免使用 ${}赋值 。

jiarg
关注
专栏目录
NL2SQL技术方案系列(5):金融领域NL2SQL技术方案以及行业案例实战讲解3--非LLM技术方案
丨汀、的博客
04-24 448
NL2SQL技术方案系列(5):金融领域NL2SQL技术方案以及行业案例实战讲解3--非LLM技术方案
NL2SQL技术方案系列(2):全系列技术选型完整版:从通用技术选型(向量、图数据库)、大模型选择、Prompt工程、前沿技术方案展示
最新发布
丨汀、的博客
04-23 1425
NL2SQL技术方案系列(2):全系列技术选型完整版:从通用技术选型(向量、图数据库)、大模型选择、Prompt工程、前沿技术方案展示
sql\(很长的l模糊查询拼接sql存储过程
07-25
sql\(很长的l模糊查询拼接sql存储过程.txtsql\(很长的l模糊查询拼接sql存储过程 大家下载吧 好东西
Ibatis关于模糊查询不能用#的问题
szj_marquis的博客
09-16 172
最近在开发一个项目,用到的是Ibatis,因为本人以前开发都是用的Hibernate,所以对Ibatis也是接触的并不多。在昨天的开发过程中,发现写模糊查询语句时用#给参数赋值时一直报找不到属性的异常,起初还一直以为是paramMap在赋值时出现问题,如下 [code="java"] name like '#name#%' [/code] 这是我起初...
SQLServer like模糊匹配查询带中括号的数据
wj_once的博客
10-17 3957
一般在sqlserver数据库查询中如果查询条件存在中括号那么会查询失败,如: select * from pubNews t where t.newsTitle like '%[啦啦啦]%' 将返回空数据记录。需要通过escape进行转义才能查到数据: select * from pubNews t where t.newsTitle like '%/[啦啦啦/]%' escape ...
sqlserver 模糊查询
sui366的专栏
08-19 638
模糊查询中用到下划线,处理方式: select * from user t where t.name like '%[_]%'
mybatis里面模糊查询拼接
u010536669的博客
10-23 581
like concat(#{selectword},'%')
SQL模糊匹配
热门推荐
ForestRound的博客
10-06 1万+
模糊匹配 关键字:LIKE , SOUNDEX , DIFFERENCE   1. 模式匹配 在WHERE子句中使用LIKE操作来查找针对列值的某个部分的匹配。LIKE + 通配 来指定。 SELECT MovieTitle AS ‘Movie’ FROM Movies WHERE MovieTitle LIKE ‘%LOVE%’ 查找电影名包含LOVE的电影(LOVE
Sqlite模糊查询通配%和下划线无法匹配问题
hebbely的博客
09-22 945
问题描述: 使用以下like语句查询, select * from table where columnName like '%_%'; 结果是返回全部的记录,不是想要的结果! 网上搜索一下,原因如下: 在like语句中的“下划线”代表匹配“任意一个字”,“%”代表匹配“任意多个字”。 解决方案: 方案一:使用escape转义 escape的内容可以任意,只要保证前后一致即可 select * f...
转:SQL多条件模糊查询解决方案(类似百度搜索)
总有一天,你的日积月累,会成为别人的望尘莫及
12-21 1770
原文转载自:http://blog.csdn.net/yangyuankp/article/details/8085514   前言:算法的基本特性在前几篇博客中已经做了详细的说明,经过不断的改进优化,到归仓的时候了,也就是说,该算法告一段落,不再更新。作为最终的解决方案,简要的总结一下算法特性,以方便读者参阅。       目的:主要用于多条件模糊匹配。贪婪特性:返回满足条件尽可能多的记录...
SQL语句中关于字串的拼接问题
数据库
01-08 985
要求:将ORACLE数据库里面的XX信息(表B,客户的数据库)导入到“接口表”(A,自己系统的数据库)中。此对照表的信息同ORACLE里面的XX数据表信息一样。此项操作由系统的系统管理员来完成,并且可以随时导入,对于已经导入成功的数据,不会重复导入。 表的结构: CREATE TABLE A( ID NUMBER(20), UPDATED_BY ...
sql拼接
qq_34083182的博客
02-23 6389
1. 概述在SQL语句中经常需要进行字拼接,以sqlserver,oracle,mysql三种数据库为例,因为这三种数据库具有代表性。sqlserver:select '123'+'456'; oracle:select '123'||'456' from dual; 或 select concat('123','456') from dual; mysql:select concat('12...
xml 模糊查询 ${} 和 #{} 的区别及用法
2301_76162638的博客
01-31 272
【代码】xml 模糊查询 ${} 和 #{} 的区别及用法。
Mybaits中模糊查询like中注意的点(#与$)
轻松玩编程
06-15 863
如果采用: Like '%#{参数}$' 会报错,因为#{parameterName}引用参数的时候,Mybatis会把这个参数认为是一个字串,并自动加上‘’ 而采用以下方法: Like '%${参数}$' 可以解决! 但是: #{}是经过预编译的,是安全的。 而${}是未经过预编译的,仅仅是取变量的值,是非安全的,存在SQL注入。 解决方法:连接字串,取出中间的‘字 使用concat函数解决问题! LIKE concat(concat('%',#{参数}),'%') MySQL中conca
Mabatis ${}与#{}的模糊查询
qq_34768753的博客
09-27 1796
将name的值设置成 yuan 使用两种方式分别进行模糊查询 select * from smbms_role where roleName like '%${name}%' select * from smbms_role where roleName like '%#{name}%' '%${name}%'   解析成 select * from smbms_role where r...
模糊查询失败
Ssucre的博客
03-30 694
1.模糊查询中select name from tbl_customer where name like '%'#{name}'%'如果百分号和要查询的字串此处指(#{name}) 没有用空格隔开那么会导致查询不到数据。 JDBC Connection [com.mysql.jdbc.JDBC4Connection@5ad1eca4] will be managed by Spring ==> Preparing: select name from tbl_customer where name
MyBatis各种查询功能;(模糊查询,批量删除,动态设置表名)只能用${}而不适用#{}
weixin_43899452的博客
03-07 440
MyBatis的各种查询功能: 1、若查询出的数据只有一条 a>可以通过实体类对象接收 b>可以通过list集合接收 c>可以通过map集合接收 结果:{password=123456, sex=男, id=3, age=23, email=12345@qq.com, username=admin} 2、若查询出的数据有多条 a>可以通过实体类类型的list集合接收 b>可以通过map类型的list集合接收 c>可以在mapper接口的方法上添加@MapKey注解,此.
使用$符号进行模糊查询,不用#
Richard_666的博客
12-08 431
<select id="queryAllVideo" resultMap="BaseResultMap" parameterType="String"> select v.*,u.face_image as face_image,u.nickname as nickname from video v left join users u on u.id=v.user_id...
open sql 模糊查询
10-20
Open SQL是SAP系统中的一种查询语言,可以用于从数据库中检索数据。在Open SQL中,可以使用LIKE运算进行模糊查询模糊查询可以在查询中使用通配匹配不完全的字串。在SAP中,通配是百分号(%)。在Open SQL中,可以使用LIKE运算和通配来进行模糊查询。例如,可以使用以下代码进行模糊查询: SELECT * FROM MAKT INTO CORRESPONDING FIELDS OF TABLE MAKT_TAB WHERE MAKTX LIKE '%MAKTX_EXP%' 在这个例子中,MAKTX_EXP是一个变量,它包含要搜索的字串。在查询中,使用LIKE运算和通配%将MAKTX_EXP包含在MAKT表的MAKTX字段中的任何字串中。这将返回所有包含MAKTX_EXP的MAKTX字段的行。 另外,可以使用CONCATENATE函数来拼接串。在Open SQL中,可以使用CONCATENATE函数将字串连接在一起。例如,可以使用以下代码将MAKTX_TXT拼接到MAKTX_EXP中: CONCATENATE '%' MAKTX_TXT '%' INTO MAKTX_EXP. 这将在MAKTX_TXT的前面和后面添加%符号,并将结果存储在MAKTX_EXP变量中。这个变量可以在模糊查询中使用,以便在MAKT表中搜索包含MAKTX_EXP的字串。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值