Mybatis
SuZhan7710
于道各努力,千里自同风
展开
-
Mybatis 框架下易产生 SQL 注入漏洞的三种情况
这种场景应当在 Java 层面做映射,设置一个字段/表名数组,仅允许用户传入索引值。这样保证传入的字段或者表名都在白名单里面。需要注意的是在 mybatis-generator 自动生成的 SQL 语句中,order by 使用的也是 $,而 like 和 in 没有问题。这样如果 Java 代码层面没有对用户输入的内容做处理势必会产生 SQL 注入漏洞。在这种情况下使用「#」 程序会报错,新手程序员就把「#」 号改成了「$」原创 2022-09-27 18:54:39 · 1217 阅读 · 0 评论 -
Mybatis模糊查询写法
Mybatis模糊查询写法 <where> <if test="custQuery.custTypeName !=null and custQuery.custTypeName !=''"> a.cust_type_name like concat('%',#{custQuery.custTypeName},'%') </if> </where>原创 2021-11-25 09:59:36 · 422 阅读 · 0 评论 -
使用PageHelper完成分页功能
一、导入依赖 <dependency> <groupId>com.github.pagehelper</groupId> <artifactId>pagehelper</artifactId> <version>5.1.4</version> </dependency>二、编写配置使用PageHelper需要编写一些原创 2021-09-23 10:33:52 · 588 阅读 · 0 评论 -
Mybatis执行前端传入的SQL语句
Mybatis执行前端传入的SQL语句,话不多说,直接看代码。Mapper.xml文件<select id="executeSql" parameterType="String" resultType="java.util.Map"> ${sqlStr}</select>DAO方法List<Map<String, Object>> executeSql(@Param(value = "sqlStr") String sqlStr);原创 2021-09-16 16:51:48 · 2856 阅读 · 1 评论