Mybatis进行模糊查询以及避免因为模糊查询导致的sql注入

已于 2024-04-24 09:26:42 修改
阅读量968 收藏 2
点赞数 2
分类专栏: Mybatis 文章标签: mybatis
于 2020-12-19 16:17:34 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44976835/article/details/111406495
版权

模糊查询 ,like语句

模糊查询怎么写?
1.java代码执行的时候,传递通配符%
在接口中创建方法

/**
* 模糊查询
* @return
*/
List<User> getUserLike(String value);

写sql语句

<!--模糊查询-->
<select id="getUserLike" resultType="pojo.User">
select * from mybatis.User where name like #{value}
</select>

测试

//模糊查询
@Test
public void getUserLike(){
SqlSession sqlSession = MyBatisUtils.getSqlSession();
UserMapper mapper = sqlSession.getMapper(UserMapper.class);
List<User> userLike = mapper.getUserLike("%王%");
for (User user : userLike){
System.out.println(user.getName());
}

sqlSession.close();
}

2.在sql语句中使用通配符
在java语句中传入通配符%,会导致sql注入问题,所以最好在sql语句中将通配符写死,不允许客户传入其他参数。
在接口中创建方法

/**
* 模糊查询
* @return
*/
List<User> getUserLike(String value);

写sql语句

<!--模糊查询-->
<select id="getUserLike" resultType="pojo.User">
select * from mybatis.User where name like "%"#{value}"%"
</select>

测试

//模糊查询
@Test
public void getUserLike(){
SqlSession sqlSession = MyBatisUtils.getSqlSession();
UserMapper mapper = sqlSession.getMapper(UserMapper.class);
List<User> userLike = mapper.getUserLike("王");
for (User user : userLike){
System.out.println(user.getName());
}

sqlSession.close();
}

在sql中将通配符规定死,就可以避免用户输入的数据导致sql注入

yui方木
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 3
    评论
专栏目录
MyBatis-plus 模糊查询的使用
09-07
主要介绍了MyBatis-plus 模糊查询的使用,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
mybatis模糊查询遇到的问题
qq_43516511的博客
08-11 467
Mybatis和Oracle的模糊查询#和$的模糊查询二、 jdbcType属性三、关于参数问题导致mybatis异常 今天编写mybatis模糊查询sql语句遇到了模糊查询的问题,我因为看其他资料,都说在mybatis需要尽量用#符号来代替$符号,以防止sql注入以及其他问题,于是就出现了许多问题。 以下是xml文件sql语句,其中的_parameter和jdbcType在下面有相关介绍。 <select id="getKeyInfoJson" resultMap="keyInfoRe
html sql注入_本以为用了 MyBatis 框架就万无一失了,没想到还是被黑客注入了.......
weixin_39913422的博客
11-20 116
来源:freebuf.com/vuls/240578.html前言 SQL注入漏洞作为WEB安全的最常见的漏洞之一,在java中随着预编译与各种ORM框架的使用,注入问题也越来越少。新手代码审计者往往对Java Web应用的多个框架组合而心生畏惧,不知如何下手,希望通过Mybatis框架使用不当导致SQL注入问题为例,能够抛砖引玉给新手一些思路。一、MybatisSQL注入 Myba...
MyBatis模糊查询的4种实现方式
shadow_zed的博客
08-11 9192
1、根据姓名模糊查询员工信息 1.1、方式一 步骤一:编写配置文件 步骤二:测试 步骤三:分析此种方式需要在调用处手动的去添加“%”通配符。1.2、方式二 说明:使用方式一可以实现模糊查询,但是有一点不方便的地方就是:在测试类中,调用selectList()方法传参时需要调用者手动的添加%号通配符,显然是麻烦的,能否在映射配置文件中直接将%号写好呢?有的朋友可能会这么想,好办,直接在配置文件中这么写:形如1: 测试后发现,程序会报错,原因是:缺少单引号。 这...
网络安全必学 SQL 注入
zxcvbnmasdflzl的博客
12-17 569
当找到某个变量关键词有 SQL 注入风险时,可以再根据调用链找到该存在注入风险的业务逻辑代码,查看参数来源是否安全、是否有配置 SQL 危险参数过滤的过滤器,最终确认是否存在 SQL 注入。这个简化的查询使得攻击者能够绕过原有的条件限制:这个查询会返回 items 表中所有储存的条目,而不管它们的所有者是谁,而原本应该只返回属于当前已认证用户的条目。修改 SQL 语句之后,程序停止报错,但是却引入了 SQL 语句拼接的问题,如果没有对用户输入的内容做过滤,势必会产生 SQL 注入漏洞。
Mybatis-plus sql注入以及防止sql注入
热门推荐
sunrj_niu的博客
05-26 1万+
Mybatis-plus sql注入 一、SQL注入是什么? SQL注入是一种代码注入技术,用于攻击数据驱动的应用,恶意的SQL语句被插入到执行的SQL语句中来改变查询结果,例如: OR 1=1 或者 ;drop table sys_user;等等 二、mybatis是如何做到防止sql注入mybatis中我们所写的sql语句都是在xml只能完成,我们在编写sql会用到 #{},${} 这个两个表达式。那 #{} 和 ${}两者之间有什么区别嘞?下面我将用两个SQL语句例子来进行说明。 <sele
MyBatis模糊查询防止通配符查询
weixin_41894177的博客
03-31 893
错误示例; 当传参为%时,where 条件失效 select * from test as t1 where t1.tiltle like concat('%',#{title},'%');
Mybatis预防SQL注入之like模糊查询整理
qq_34868715的博客
09-11 6659
#{}是经过预编译的,是安全的;${}是未经过预编译的,仅仅是取变量的值,是非安全的,存在SQL注入。 如果order by语句后用了${},那么不做任何处理的时候是存在SQL注入危险的。只能手动处理过滤一下输入的内容。如判断一下输入的参数的长度是否正常(注入语句一般很长),更精确的过滤则可以查询一下输入的参数是否在预期的参数集合中。 ‘#’与 ‘$’ 的区别最大在于:#{} 传入值时,sql解析...
mybatis模糊查询语句及注意事项
qq_26514509的博客
04-28 871
<select id="queryCount" resultType="int"> select count(*) from t_user <where> <if test="queryText!=null">loginacct like concat("%",#{queryText},"%")</if> </where...
Mybatis模糊查询和动态sql语句的用法
08-26
今天小编就为大家分享一篇关于Mybatis模糊查询和动态sql语句的用法,小编觉得内容挺不错的,现在分享给大家,具有很好的参考价值,需要的朋友一起跟随小编来看看吧
Mybatis 中 Oracle 的拼接模糊查询及用法详解
08-27
主要介绍了Mybatis 中 Oracle 的拼接模糊查询及用法,非常不错,具有一定的参考借鉴价值,需要的朋友可以参考下
MyBatis实现模糊查询的几种方式
08-27
主要介绍了MyBatis实现模糊查询的几种方式,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
MyBatis中的模糊查询语句
08-31
主要介绍了MyBatis中的模糊查询语句的相关资料,需要的朋友可以参考下
Mybatis中使用Map更灵活的传递参数
weixin_44976835的博客
12-19 3670
假设我们的实体类或者数据库中的表字段或者参数过多,我们应当考虑使用Map。 因为Map的特性是key和value对应的,所以确定了一个key,value可以是任何数据(Map<String,Object>),这样就可以在Map内存入任何数据。 也就是说 如果只想更改某一个数据,例如只想修改密码,那么只将密码传入map,然后将map传递给sql方法即可,这样就省去了利用创建User实例来传递参数所有参数都要传入的麻烦 1.首先还是先在接口中创建一个方法 /** * 使用Map传入数据来修改数据库中
Mybatis配置解析优化以及导入db.properties配置文件
weixin_44976835的博客
12-19 2843
1.核心配置文件 MyBatis-config.xml MyBatis的配置文件包含了会深深影响MyBatis行为的设置和属性信息 2.环境配置:可以配置多种环境,但每个SqlSessionFactory实例只能选择一种环境 1.事务管理器 JDBC MANAGED :基本没用,让容器来管理实务的整个生命周期 默认使用JDBC 2.数据源 dataSource:连接数据库 dbcp c3p0 druid 有三种内检的数据源类型:也就是type:UNPOOLED\POOLED\JNDI 这里引
MyBatis动态SQL以及复用SQL片段
weixin_44976835的博客
12-21 1477
动态SQL就是指根据不同的条件生成不同的SQL语句 if choose(when,otherwise) trim(where,set) foreach 首先搭建环境 CREATE TABLE `blog`( `id` VARCHAR(50) NOT NULL COMMENT '博客id', `title` VARCHAR(100) NOT NULL COMMENT '博客标题', `author` VARCHAR(30) NOT NULL COMMENT '博客作者', `create_time` DA
MyBatis解决属性和字段名不一致的问题(结果集映射)
weixin_44976835的博客
12-19 957
这种情况就是属性名和sql字段名不一致 这种情况,查出的结果不一样的字段可能就为null 下面有几种解决方案: 起别名 在UserMapper.xml中将sql语句改为 :select id,name,pwd as password from mybatis.user where id = #{id} resultMap (重点) 2.resultMap 结果集映射 表字段为 id name pwd 实体类为 id name password 要讲查出表的字段映射到实体类User上 就要用到resu.
Maven获取不到配置文件的解决方案
weixin_44976835的博客
12-19 784
因为maven由于约定大于配置,如果遇到如下这类错误Cause: java.io.IOException: Could not find resource db.properties 在pom.xml配置文件中加上 <!--在build中配置resources,来防止资源导出失败问题--> <build> <resources> <resource> <directory&g
mybatis sql like模糊查询
最新发布
07-28
使用 MyBatis 进行模糊查询可以使用 SQL 的 `LIKE` 关键字配合 `%` 和 `_` 进行通配符匹配。以下是一个示例: ```xml <select id="getUserByName" resultType="User"> SELECT * FROM users WHERE name LIKE '%${name}%' </select> ``` 在这个示例中,`getUserByName` 是查询语句的唯一标识,`User` 是结果的返回类型。`${name}` 是使用 `${}` 语法引用传入的参数值。 在上述示例中,我们使用了 `%` 通配符来匹配任意字符的任意长度,这意味着在 `name` 字段的任意位置都可以包含传入的参数值。如果要进行精确匹配,可以根据需要修改通配符的位置。 请注意,在使用 `${}` 语法来引用参数值时,MyBatis 不会对参数进行预编译,这可能会导致 SQL 注入的安全风险。为了避免这个问题,建议使用 `#{}` 语法来引用参数值,如下所示: ```xml <select id="getUserByName" resultType="User"> SELECT * FROM users WHERE name LIKE CONCAT('%', #{name}, '%') </select> ``` 在这个示例中,我们使用 `CONCAT` 函数来拼接 `%` 和参数值,并且使用 `#{}` 语法来引用参数值。这样做可以确保参数值会被正确地进行预编译,提高查询的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

yui方木

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值